{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
個人情報保護委員会「民間企業における個人データの越境移転、海外法規制対応に関する実態調査」の概要
企業における個人データの利活用が進む一方で、諸外国において個人情報保護規制が強化されています。これに伴い、企業は展開先国での個人データ取得において各国のデータ保護法規制への対応が必須となっています。しかし、これまで個人情報保護法をはじめとした国内法への対応のみを行っていた企業が海外法規制に柔軟に対応するのはさまざまな理由から困難なケースが多く、ガバナンス整備においても多くの課題が存在すると推察されます。
このような企業における海外法規制やガバナンス整備対応の実態を示す資料として、2023年12月に個人情報保護委員会から「民間企業における個人データの越境移転、海外法規制対応に関する実態調査 調査結果報告書」(以下、報告書)が公表されました。報告書では一般社団法人日本経済団体連合会および一般社団法人新経済連盟に対して実施したアンケート調査結果がまとめられており、両団体の加盟企業における越境移転状況やガバナンス整備において抱える課題感が定量的、定性的に示されています。
本稿では報告書内の調査結果を抜粋し、企業に求められる対応の観点での示唆を紹介します。なお、報告書は本体と概要版が存在し、設定されたアンケート設問も多岐にわたりますが、本稿では企業における個人データの越境移転状況、ガバナンス体制の整備状況および、企業が対応に当たり直面している課題に焦点を当てて論じます。
※調査結果報告書の本体と概要版については、個人情報保護委員会「民間企業における個人データの越境移転、海外法規制対応に関する実態調査」よりアクセスの上ご確認ください。
選択式設問における調査結果の抜粋
選択式設問の調査結果では企業における海外居住者のデータ取得有無や越境移転有無、海外法令への対応状況などが調査項目に含まれ、定量情報として取りまとめられています。調査結果によると回答企業66社のうち、82%(54社)が海外居住者のデータを取得しており、86%(57社)がデータの越境移転を実施していました。
ガバナンス整備状況に関する調査結果として回答企業のうち74%(49社)が「海外法令対応を念頭に置いたガバナンス体制の整備」を行っており、82%(54社)が今後、海外法令対応を念頭に置いたプライバシー保護体制への切り替えを想定している、あるいは切り替え済みとのことでした。
記述式設問における調査結果の抜粋
記述式設問の調査結果では越境移転やガバナンス整備において企業が抱える課題など定性情報を中心に取りまとめられています。日本の個人情報保護法におけるデータ越境移転規制への対応について、有効回答44社のうち20社(45%)が「海外拠点による協力が得られにくい」、「対応リソースが不足している」などの「自社における運用上の課題が存在する」と回答しました。
ガバナンス整備の具体的な取り組み状況について、有効回答41社のうち「社内規程類の整備」は30社、「プライバシーポリシーの策定」は27社と半数以上が取り組んでいる一方、「研修プログラムの整備」は14社、DPIA(データ保護影響評価)の実施や「プライバシー対応組織の構築」は13社にとどまる状況でした(複数回答可)。また、海外法令を念頭に置いたプライバシー対応への切り替えに当たっての課題について有効回答21社のうち、約半数の11社が「各国法令に対しタイムリーに情報を収集し対応すること」を課題に挙げました。その他の課題として「業務負荷の増大及び対応に必要なリソースの確保」や「グローバル規模での法令対応を実施するための規程類、体制等の整備」も挙げられました。
調査結果を踏まえた示唆
調査結果を踏まえると企業は積極的に海外居住者のデータを取得し、国内法に基づく越境移転規制への対応も進めている一方、海外法規制への対応を念頭に置いたガバナンス整備の取り組みはまだ部分的であると言えます。また、多くの企業が社内規程類の整備やプライバシーポリシーの策定といったドキュメント整備対応は行っている一方、研修プログラムや体制の整備といったプライバシーガバナンスとしての仕組みの構築が進んでおらずガバナンス整備上の課題が多いと考えます。
各課題には段階を踏んで対処していくことが重要と考えます。リソースの確保に向けては、新規・既存ビジネスの海外展開や万が一のデータ漏洩時の緊急対応など、ビジネスの推進やリスク対処においてプライバシー対応は不可欠なものと位置づけ、経営層や関連部門へ発信する必要があります。その後の体制整備や調査推進に向けては短期および中長期的なガバナンス整備の計画、調査対象法規制の絞り込みや優先度付けなどのアクションが推奨されます。
まとめ
本稿では言及していませんが報告書では業種別の回答状況や記述式設問における具体的な回答例のほか、DFFT(Data Free Flow with Trust:信頼性のある自由なデータ流通)やGlobal CBPR(Cross Border Privacy Rules:越境プライバシールール)の推進に向けた個人情報保護委員会への期待感なども記載されています。報告書の内容を踏まえると企業のプライバシー保護に対する関心は高まっており、今後も組織全体としてのプライバシーガバナンスの整備に取り組む企業は増えていくことが予測されます。
一方、リソースの不足や体制が未整備などのガバナンス整備において企業が抱える課題感には共通性が見られました。今後のビジネスの拡大およびリスク対応において、プライバシー保護やガバナンス整備の重要性を組織内で発信し、経営層や関連部門を巻き込み企業全体として推進していくことが必要になると考えます。なお、2024年においても国内外におけるプライバシー保護に関する議論や法改正の検討は引き続き活発に行われており、企業においては情報収集および動向の注視が引き続き求められます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
