2022年4月施行 改正個人情報保護法への企業の対応状況(第2回調査)~改正法対応への課題

改正法対応への着手状況

図表1 改正法対応への着手状況(前回時点との比較)

図表1は、前回調査時点(2021年6月)と今回調査時点(2022年2月)における改正法対応への着手状況を示しています。今回は回答者の半数以上(54%)が改正法対応に「着手済」と回答しており、前回時点(48%)からやや増加しています。

この結果から、時間の経過とともに対応が進んでいることが見受けられます。また、今回の調査では「わからない」の割合が減少していることから、各企業で法令対応の必要性の認知度が高まったことも推察されます。

しかしながら、対応に「着手済」と回答した割合は半数程度にとどまる状況に変わりはなく、全面施行の直前になっても、依然として多くの企業がコンプライアンスリスクを抱えていると考えられます。

図表2 改正法対応の完了見込みの時期

図表2は、改正法への対応が完了する見込みの時期を調査した結果です。前回の調査時点では4月の全面施行までに対応が完了する見込み(または既に完了)であると約8割が回答しましたが、今回の調査では約6割にまで落ち込んでいます。このことから、多くの企業で改正法対応の必要性の認識が進んだものの、全面施行までに対応が間に合わず、完了見込みの時期を後ろ倒しにしている状況が伺えます。

改正法対応の阻害要因

改正法への対応を阻害する要因としては、どのような事項が挙げられるでしょうか。前回の調査において、改正法対応の阻害要因について自由記述で尋ねたところ、「人員の不足」「予算の不足」「専任者(または組織)の不在」について言及する回答が多くみられました。

今回の調査では、選択式の設問とすることで、どの程度の回答者がこれらの阻害要因を実感しているか、定量的に分析することを試みました(図表3)。その結果、「人員の不足」に課題を感じている回答者が約4割と最も多く、次いで「予算の不足」を挙げている回答者が約2割に上りました。改正法施行を目前に控える中であっても、対応のために必要な人員、予算が十分に割り当てられていないという現状が明らかになりました。このことから、企業が顧客および従業員から預かっている個人情報の管理をないがしろにしているという実態が透けて見えます。同時に、デジタル社会におけるデータ保護に係る企業の責任に対する考え方がまだまだ不十分であるという実態を露呈したとも考えられます。

また、今回はさらに、役職クラスごとにどのような阻害要因を認識しているかに着目し、より詳細な分析を試みました。

図表3 改正法対応の阻害要因(役職クラス別)

調査結果によると、管理職クラスの半数近く(47%)が「人員が不足している」と回答しており、経営層クラス(29%)部員クラス(35%)と比較しても顕著に高い傾向が見られました。

このことから、改正法対応にあたっては、管理職クラスの負荷が高まっていることが推察されます。一方、経営層クラスが人員不足を阻害要因として感じている割合が低いことから、改正法対応への経営層の関与の程度が低く、現場の課題が経営層に十分に共有されていないという状況も読み取れます。

改正法の施行にあたり、個人情報を利用する企業が管理責任を負う範囲が大幅に拡大しました。そのため、効果的に対応を進めるためには経営層の関与が欠かせないと考えます。改正法は個人情報の利活用によりビジネス変革を促す一方で、個人情報利用時の安全性や透明性を担保するため、企業に相当の安全管理措置と広範な情報開示責任を課しています。そのため、新たに課せられた責任を果たすためには法務、IT、リスクなどの管理部門と、マーケティング、DX、サービス開発などの個人データの利用部門が連携を深める必要があります。これらの部門は、異なる利害を抱えているケースが多いため、効果的に対応を進めるためには、経営層が積極的に関与し、適切な経営判断を下せる体制を構築することが望ましいと言えます。

図表4 分野別の改正法対応状況

図表4は改正法で対応が必要になる主な項目ごとの対応状況です。「社内規程の見直し」、プライバシーポリシーをはじめとする「通知文書の見直し」への着手率が高く、「個人関連情報への対応見直し」や「外国の第三者へ提供の対応の見直し」への着手率が低いという結果となりました。このことからも、企業が部門間連携による対応に苦慮していることが推察されます。

例えば個人関連情報(ウェブサイトの閲覧履歴や位置情報など)は、これまで単体では個人情報に該当せず、取得・利用にあたっては本人同意の取得は特段不要でした。しかし今回の改正によって、第三者提供後、個人情報と関連付けて個人を特定する情報として利用される可能性がある場合は、個人が特定されるデータとして利用することを認める本人同意の取得が必要になりました。

この要求事項に対応するにあたっては、ウェブサービスやモバイルアプリの開発部門、マーケティング部門など、個人関連情報を取り扱う可能性があるあらゆる部門に対して、個人関連情報の利用状況を調査する必要があります。各部門の利用状況を調査する際には、法令の知識のみではなく、個人データの利用実態の理解が求められます。これまで個人情報保護法対応の中心となっていた法務部など、管理部門のみで対応することは困難であるため、個人情報の利用部門との連携が欠かせません。

今回の改正法では、そのほかにも、個人情報漏えい時の個人情報保護委員会への報告義務や不適切利用の禁止など、新たな要求事項が追加されています。これらの要求事項に未対応のまま法令施行日を迎えることは、法令違反につながりかねません。法令違反に際して法人に課せられる罰金は最大1億円にまで引き上げられており、万が一罰金が科せられるような事態となれば、企業の経営に与えるインパクトも大きなものとなります。

まとめ

調査の結果、改正法の施行を間近に控える中、法令対応への着手がある程度進む一方で、思うように進捗できていない状況が浮き彫りになりました。また、個人関連情報の管理や漏えい発生時の報告など新たな要求事項への対応に人員、予算がかかる一方で、現場の課題が経営層に十分に伝わっておらず、経営資源の配分や部門間の連携が思うように進まない状況が読み取れました。

改正法では、企業に対する罰金額は最大1億円に引き上げられています。未対応のまま改正法の施行日を迎えることは企業にとって、制裁リスクを抱えることになります。また企業の個人情報管理に向けられる目は年々厳しくなっており、レピュテーションの低下をもたらすリスクでもあります。

日本に限らず、プライバシー保護法令は世界中で厳格化の一途をたどっています。企業に管理が求められる範囲は拡大しており、企業内の個別の部門で対応できる範疇を超えています。部門を超えた法令対応を効果的に進めるにあたっては、経営層のリーダーシップは欠かせない要素であると考えられます。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

平岩 久人

パートナー, PwC Japan有限責任監査法人

Email

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

篠宮 輝

シニアマネージャー, PwCコンサルティング合同会社

Email