2022年4月施行 改正個人情報保護法への企業の対応状況（第2回調査）～改正法対応への課題

改正法対応の阻害要因

改正法への対応を阻害する要因としては、どのような事項が挙げられるでしょうか。前回の調査において、改正法対応の阻害要因について自由記述で尋ねたところ、「人員の不足」「予算の不足」「専任者（または組織）の不在」について言及する回答が多くみられました。

今回の調査では、選択式の設問とすることで、どの程度の回答者がこれらの阻害要因を実感しているか、定量的に分析することを試みました（図表3）。その結果、「人員の不足」に課題を感じている回答者が約4割と最も多く、次いで「予算の不足」を挙げている回答者が約2割に上りました。改正法施行を目前に控える中であっても、対応のために必要な人員、予算が十分に割り当てられていないという現状が明らかになりました。このことから、企業が顧客および従業員から預かっている個人情報の管理をないがしろにしているという実態が透けて見えます。同時に、デジタル社会におけるデータ保護に係る企業の責任に対する考え方がまだまだ不十分であるという実態を露呈したとも考えられます。

また、今回はさらに、役職クラスごとにどのような阻害要因を認識しているかに着目し、より詳細な分析を試みました。

調査結果によると、管理職クラスの半数近く（47％）が「人員が不足している」と回答しており、経営層クラス（29%）部員クラス（35%）と比較しても顕著に高い傾向が見られました。

このことから、改正法対応にあたっては、管理職クラスの負荷が高まっていることが推察されます。一方、経営層クラスが人員不足を阻害要因として感じている割合が低いことから、改正法対応への経営層の関与の程度が低く、現場の課題が経営層に十分に共有されていないという状況も読み取れます。

改正法の施行にあたり、個人情報を利用する企業が管理責任を負う範囲が大幅に拡大しました。そのため、効果的に対応を進めるためには経営層の関与が欠かせないと考えます。改正法は個人情報の利活用によりビジネス変革を促す一方で、個人情報利用時の安全性や透明性を担保するため、企業に相当の安全管理措置と広範な情報開示責任を課しています。そのため、新たに課せられた責任を果たすためには法務、IT、リスクなどの管理部門と、マーケティング、DX、サービス開発などの個人データの利用部門が連携を深める必要があります。これらの部門は、異なる利害を抱えているケースが多いため、効果的に対応を進めるためには、経営層が積極的に関与し、適切な経営判断を下せる体制を構築することが望ましいと言えます。

図表4は改正法で対応が必要になる主な項目ごとの対応状況です。「社内規程の見直し」、プライバシーポリシーをはじめとする「通知文書の見直し」への着手率が高く、「個人関連情報への対応見直し」や「外国の第三者へ提供の対応の見直し」への着手率が低いという結果となりました。このことからも、企業が部門間連携による対応に苦慮していることが推察されます。

例えば個人関連情報（ウェブサイトの閲覧履歴や位置情報など）は、これまで単体では個人情報に該当せず、取得・利用にあたっては本人同意の取得は特段不要でした。しかし今回の改正によって、第三者提供後、個人情報と関連付けて個人を特定する情報として利用される可能性がある場合は、個人が特定されるデータとして利用することを認める本人同意の取得が必要になりました。

この要求事項に対応するにあたっては、ウェブサービスやモバイルアプリの開発部門、マーケティング部門など、個人関連情報を取り扱う可能性があるあらゆる部門に対して、個人関連情報の利用状況を調査する必要があります。各部門の利用状況を調査する際には、法令の知識のみではなく、個人データの利用実態の理解が求められます。これまで個人情報保護法対応の中心となっていた法務部など、管理部門のみで対応することは困難であるため、個人情報の利用部門との連携が欠かせません。

今回の改正法では、そのほかにも、個人情報漏えい時の個人情報保護委員会への報告義務や不適切利用の禁止など、新たな要求事項が追加されています。これらの要求事項に未対応のまま法令施行日を迎えることは、法令違反につながりかねません。法令違反に際して法人に課せられる罰金は最大1億円にまで引き上げられており、万が一罰金が科せられるような事態となれば、企業の経営に与えるインパクトも大きなものとなります。