「アフターGDPR」におけるプライバシー保護のグローバリゼーション

2020-09-09

1．GDPRを機に厳しくなる各国の個人情報保護法

2018年の欧州一般データ保護規則（GDPR）の施行を機に、各国の個人情報保護法は厳格化の傾向をたどっています。特にブラジル、インド、タイ、日本で施行予定の法令は、GDPRに類似していると言われています。さらに、中国サイバーセキュリティ法や中国個人情報安全規範は、GDPRの影響を受けて個人の権利を強化しています。

プライバシー保護は元来、1980年に経済開発協力機構（OECD）が策定した「個人情報保護に対する8つの原則」（目的明確化の原則、利用制限の原則、収集制限の原則、データ内容の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則）が基礎となっています。当原則を礎とし、欧州や日本などでは、EUデータ保護指令、個人情報保護法などが策定されました。

一方、当原則はOECDの加盟国のみに適用され、かつ当原則に対する解釈は、各国に委ねられているため、プライバシー保護のレベルは国ごとに異なりました。特に欧州は、複数の国から成る経済統合体を築いており、これらの国における共通秩序を実現するため、個人情報保護法にも均質性が求められてきました。そこでEU加盟国※1においてプライバシー保護レベルの乖離を平準化するために施行された法令が、GDPRです。

これまでは、個人情報を含む情報を利活用することで新たなビジネスの創出や知見を獲得しようという企業のビジネス上の利益が優先されてきましたが、GDPRの施行を機に、個人情報保護法が厳格化し、ユーザーのプライバシーも尊重されるようになりました。

図1に、GDPRを皮切りに厳格化する各国の個人情報保護法施行の動きをまとめました。これらの法令には、当該国に拠点がない場合にも適用され得る国外適用の要件も含まれています。そのため、グローバルにビジネスを展開する企業は、各国のグループ会社が個別に対策を講じるのではなく、どの法令へも対応できるようにプライバシー保護をグローバライズし、グループ全体へ適用する必要が出てきたと考えられます。

2．プライバシー保護のグローバリゼーションのために企業が行うべき3つの施策

それでは企業は、こうした状況下でどのような施策を講じればよいのでしょうか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明します。

プライバシー保護施策は一般的に、データマッピング、規程類の策定、グループ管理体制の構築、越境移転への対応、データ主体（ユーザー）の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられます。その中でも特に肝となる論点は、「グローバル管理体制の構築」、「ミニマムのプライバシー保護レベルの設定」、「データマッピングとデータ主体の権利への対応」の3点です。

1）各グループ会社が連携するグローバル管理体制の構築

各国の個人情報保護法の動向を把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となります。各国の法令下でデータ保護オフィサー（DPO：Data Protection Officer）の設置が求められているか否かに関わらず、企業のビジネス戦略やプライバシー保護へ関与する責任者であるチーフプライバシーオフィサー（CPO：Chief Privacy Officer）やそれを支援するコンプライアンス部門の設置が推奨されます。

既にこうした取り組みを実施している企業は、ビジネスを展開する地域の統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のコンプライアンス部門と連携しながら、プライバシー保護に係るアドバイスの提供や監視を行っています。またコンプライアンス部門は、CPOからのアドバイスなどをもとに、プライバシー保護の施策を導入・運用しています。

さらに、全従業員が、CPOやコンプライアンス部門が策定したプライバシー保護に係るルール、体制、運用手順などの情報に対して簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨されます。

2）ミニマムのプライバシー保護レベルの設定

先に述べたように、各国の個人情報保護法は異なっています。一般的に、欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、未だ途上段階にあると言われています。欧州のGDPRは、プライバシー保護の「グローバルスタンダード」であると言われてはいるものの、当該法令の要件をグループの全拠点へそのまま適用することは、地域特性の違いから難しいでしょう。一方で、多額の制裁を科されるリスクも避けなければいけません。そのため、グローバルにビジネスを展開する企業は、各国の法令の特異性を考慮した上で、ミニマムのプライバシー保護レベルを設定する必要があります。既に取り組みを実施している企業は、自社の地域統括拠点がある国々の法令と要件の差分を把握した上で、独自のグローバルプライバシー保護レベルを設定し、それをもとにグループ会社へプライバシー保護対策を導入・運用しています。

3）グループ内外におけるデータマッピングに基づいたデータ主体の権利への対応

法令の厳格化、データ主体の権利強化に伴い、各国では、ユーザーが個人情報の取り扱いやプライバシーポリシーに係る問い合わせを企業に行うケースが急増しています。実際に、ユーザーからの問い合わせに適切に対応することができず、監督機関から制裁を科されたり、レピュテーションが低下したりした企業も出てきています。

これらのリスクを最小限に抑えるために、企業は、ユーザーから問い合わせを受けた際に、なるべく早く、また正確に応じなければいけません。そのために、企業はグループ内外におけるデータマッピングを行い、自社がユーザーから取得している個人情報の種類、利用目的、適法性の根拠、プライバシーポリシーへの同意の取得状況、第三者提供の状況などを整理しておく必要があります。既に取り組みを実施している企業は、グローバルプライバシー保護レベルをもとに、グループ共通のデータマッピング項目を策定し、CPOや各グループ会社のコンプライアンス部門を通じて、個人情報の取り扱い状況を洗い出しています。

3．グローバライズされたプライバシー保護がビジネスに貢献する

近年、企業の先進的な取り組みとして、合併・買収やジョイントベンチャーの設立などのビジネス戦略と並行して、プライバシー保護のデューデリジェンスを効率的に行う方法を模索しているという例が挙げられます。その取り組みの一つとして、企業は、データマッピングツールやユーザーからの同意状況を管理するコンセントマネジメントツールといったプライバシーテックを採用し、プライバシー保護の柔軟性を高めています。

ビジネスがグローバル化する社会にあっては、企業内のプライバシー保護をグローバライズすることが今後、ますます求められると考えられます。各国の法令に準拠してユーザーの個人情報を適切に管理し、彼らのプライバシーをグローバル規模で保護することが、企業がビジネスを成功させるための礎となるでしょう。GDPRの施行を契機に、こうした取り組みは既に各国で始まっています。

※1：GOV.UK, “Countries in the EU and EEA”,（2020年8月12日閲覧）［English］

「アフターGDPR」におけるプライバシー保護のグローバリゼーションダウンロード

［PDF 461KB］

執筆者

大井哲也

TMI総合法律事務所／TMIプライバシー＆セキュリティコンサルティング株式会社パートナー弁護士

藤田恭史

パートナー, PwCコンサルティング合同会社

平岩久人

パートナー, PwC Japan有限責任監査法人

門脇一史

シニアマネージャー, PwCコンサルティング合同会社

高澤真理

シニアマネージャー, PwCコンサルティング合同会社

積極的なデータ活用を見据えた『攻め』と『守り』のプライバシー ― TMI総合法律事務所／PwC

9 results

2020-11-05

「法の観点から見るプライバシー」デジタルトランスフォーメーションにおけるプライバシー・バイ・デザインの実装

DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。

2020-10-14

「法の観点から見るプライバシー」医療ビッグデータの利活用の法的問題点 ― 匿名加工情報と学術研究の例外のユースケースを解説

実臨床から収集した膨大な医療情報である「医療ビッグデータ」の利活用にあたっては、個人情報保護と研究倫理に関するそれぞれのルールに留意する必要があります。「サービスベンダーによる医療情報の外部提供」と「大学病院との人工知能（AI）の共同研究」の2つの想定事例を取り上げて、データ利活用の観点から法的問題点を解説します。

2020-10-05

「法の観点から見るプライバシー」信用スコアリング事業の法的課題 ― 個人情報保護法、独占禁止法の交錯

個人を信用スコアで格付けするサービス「信用スコアリング事業」が、日本でも近年広がりつつあります。同時に、公正取引委員会が、デジタル・プラットフォーム事業者に対する競争法の執行を活発化する姿勢を見せています。信用スコアリング事業を展開するにあたって留意するべき、独占禁止法の観点からの法的課題を考察します。

2020-09-23

「法の観点から見るプライバシー」信用スコアリング事業を題材としたプロファイリングの法的課題 ― 個人情報保護、プライバシーの観点から

ビッグデータと人工知能（AI）を用いて個人の性向や属性などの推測を行う「プロファイリング」は、プライバシーの侵害につながる可能性があります。日本でも広がりつつある信用スコアリング事業を取り上げながら、日本における個人情報の取り扱いの法的課題について、個人情報保護法やプライバシーの観点から解説します。

AIおよびアナリティクス活用におけるプライバシーの論点

5 results

2020-11-06

「AIおよびアナリティクス活用におけるプライバシーの論点」ピープルアナリティクスで担保すべき透明性と公平性

人材マネジメントに「ピープルアナリティクス」を活用するケースが増えてきています。特に活用が期待される領域や活用事例、プライバシー上の懸念事項を紹介します。

2020-10-16

「AIおよびアナリティクス活用におけるプライバシーの論点」ユーザー行動履歴の活用における落とし穴

Society5.0を実現する上で、ユーザーのオンライン、オフラインの行動履歴に基づいてパーソナライズされた体験を提供することが鍵となります。この行動履歴を活用するにあたっての注意点を解説します。

2020-08-28

「AIおよびアナリティクス活用におけるプライバシーの論点」データマネタイズで実施すべき匿名化加工

企業におけるデジタルトランスフォーメーション（DX）の取り組みが加速するのに伴い、事業効率化・高度化に向けたデータ利活用が浸透してきています。本稿ではデータ利活用の新たな可能性としてのデータマネタイズ（データ外販）およびその課題に関して説明します。

2020-07-28

「AIおよびアナリティクス活用におけるプライバシーの論点」レコメンデーションで注意すべき「放っておいてもらえる権利」

ECサイトのレコメンデーションは、消費者の購買意欲を大いにかき立てるものになっています。レコメンデーションの進化とそれに伴う弊害、今こそ企業に求められるレコメンデーションの在り方を解説します。

「アフターGDPR」におけるプライバシー保護のグローバリゼーション

1．GDPRを機に厳しくなる各国の個人情報保護法