GDPRの改定版標準移転契約及びデータ移転影響評価への対応
本稿では新SCCへの切り替えおよびTIAの実施に関して、法令で要請されている内容と、企業として対応が推奨される事項について解説します。
個人情報保護法への対応支援
2022年4月、「個人情報の保護に関する法律等の一部を改正する法律」が施行されました。今回の改正にあたっては、近年の各国の個人情報保護法の厳格化、データ利活用の促進や消費者のプライバシー意識の高まりといった背景を踏まえた要件が追加されています。
PwCは、個人情報保護法への対応に向けた現状把握から課題の抽出、海外拠点も含めた対応方針の策定・導入まで、幅広い支援を提供します。
2022年4月施行 個人情報保護法のポイント
個人情報保護法は、個人情報の保護とデータの利活用のバランスを図る形で改正が重ねられてきました。直近では、消費者の個人情報やプライバシーの保護に対する意識の高まり、技術革新を踏まえた保護と企業のデータ利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点から、主に以下の改正がなされました。企業は、消費者をはじめとするデータ提供者(データ主体)の権利を保護するとともに、個人情報保護法によって課される義務への備え、イノベーション促進への対応法を検討していく必要があります。
データ主体の権利強化
- 企業が6カ月以内に消去する「短期保存データ」も保有個人データと見なし、開示請求の対象に
- データの開示方法について、デジタル形式での開示をデータ主体が指定可能に
第三者提供時の制限の拡大
- オプトアウトによる第三者提供が許可される個人データの範囲を制限
- データ主体へ通知すべき項目を拡充(提供先の名称、移転先国、責任者の名前など)
個人情報漏えい時の報告を義務化
- 個人情報の漏えいが発生し、個人の権利や利益を害する恐れがある場合、原則として個人情報保護委員会への報告とデータ主体への通知を義務化
データ利活用の促進と遵守事項の明確化
- 「仮名加工情報」の新設により、データ主体からの開示・利用停止請求への対応の義務といった一部要件を緩和
- 個人関連情報の第三者提供に際し、本人同意などが必要に
域外適用の拡大、および越境移転の制限強化
- 日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象に
- 外国にある第三者への個人データの提供時に、本人へ情報提供すべき項目が拡充
出典:「個人情報の保護に関する法律等の一部を改正する法律(概要)」(個人情報保護委員会)をもとにPwCが作成
個人情報保護法への対応策
個人情報保護法への対応策としては、主に1. データマッピング、2. 運用フローの見直し、3. システム改修、4. ドキュメント類の改訂、5. 従業員教育が挙げられます。
1. データマッピング
自社グループ内で取り扱う、日本に居住するデータ主体の個人情報の取り扱いフローを可視化することが求められます。特に、個人関連情報や仮名加工情報に該当するデータを把握し、個人関連情報については第三者提供先において個人データとなることがないか、仮名加工情報についてはどのように加工すべきかを検討していく必要があります。
2. 運用フローの見直し
既存の個人情報保護の運用フローを改正個人情報保護法に合わせて見直す必要があります。具体的には、個人情報を第三者に提供する際、または第三者から受領する際に記録を取り、同意を取得することが必要となります。また、データ主体から開示請求を受領した時や、個人情報の漏えいが発生した時の社内外の連携プロセスを見直し、仮名加工情報については加工手法を具体化していく必要があります。
3. システム改修
個人情報漏えいを防止するためにはDLP(Data Loss Prevention)、SIEM(Security Information and Event Management)、CASB(Cloud Access Security Broker)といった情報セキュリティ対策や、個人データを安全に利用するために匿名化・仮名化を実現する加工技術(例:マスキングやトークナイゼーション)の実装を検討する必要があります。また、個人情報のデータガバナンスと連動してデータ主体の個人情報を適切に取り扱うためには、Cookieをはじめとする個人関連情報も含め、本人からの同意を取得・管理する体制を構築しなくてはなりません。さらにはデータ主体のID情報を管理し、アクセスを適切に行えるようにするためにはCIAM(Customer Identity Access Management)の導入を検討することも求められます。
4. ドキュメント類の改訂
上記1.~3.の検討結果を社内の規程類や委託先との契約書、プライバシーポリシーなどへ反映する必要があります。
5. 従業員教育
eラーニングなどを通じ、改正個人情報保護法の概要の学習や、1.~4.の実施により変更されたドキュメント類や社内運用フローを従業員に周知徹底することが必要です。
PwCのサービス
個人情報保護法への適切かつ確実な対応に向け、PwCは「現状把握および個人情報保護法とのギャップの特定」「対応方針の検討」「対応策の実行」の3つのステップでクライアントを支援します。また個人情報保護法の域外適用を見据え、海外拠点における対応もサポートします。
ステップ1. 現状把握および個人情報保護法とのギャップの特定
クライアントが個人情報を取り扱う業務・運用を全て洗い出します。その結果をもとに、個人情報保護法への対応状況(通知、第三者提供の同意の取得、安全管理措置の実施状況など)を確認し、個人情報保護法と現行の運用フローのギャップを特定します。
ステップ2. 対応方針の検討
ステップ1で特定したギャップを踏まえ、対応方針や具体的な対応策を検討します。
また、クライアントが海外で日本法の適用を受ける個人情報を取り扱っている場合は、その国の個人情報の保護に関する制度などの外的環境を把握し、その環境を踏まえて個人情報を適切に管理・保護する必要があります。クライアントの海外拠点を含め、 対応の役割分担やスケジュールを含めた方針を検討します。
ステップ3. 対応策の実行
ステップ2で検討した対応方針・対応策を基に、実行を支援します。さらに、個人情報保護委員会から発出される情報や外的環境の変化を踏まえ、必要に応じて追加施策を検討します。
個人情報保護法への対応
Loading...
「信頼」を妥協しない、情報管理のパラダイムシフト 第3回 検証可能性により高まる情報の価値
現代の情報のやりとりにおいて消費者・企業側双方が抱える懸念とその解消に必要な情報管理の3要素。第3回では、2つ目の要素である「真実であることの検証可能性」を日本政府が公式に提供する「新型コロナワクチン接種証明書」を例に解説します。
「信頼」を妥協しない、情報管理のパラダイムシフト 第2回 選択的な情報開示による秘匿性の確保
現代の情報のやりとりにおいて消費者・企業側双方が抱える懸念とその解消に必要な情報管理の3要素。1つ目の要素である「(1)選択的な情報開示」について例を用いて解説します。
「信頼」を妥協しない、情報管理のパラダイムシフト 第1回 現代の情報管理の問題
現代の情報のやりとりにおいて消費者・企業側双方が抱える懸念とその解消に必要な情報管理の3要素について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
「サイバー攻撃被害に係る公表」に関する国内組織実態調査 第2回―インシデント検知から1週間以内に公表する企業は半数を超える―
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。
Loading...
