個人情報保護法への対応支援

2022年4月、「個人情報の保護に関する法律等の一部を改正する法律」が施行されました。今回の改正にあたっては、近年の各国の個人情報保護法の厳格化、データ利活用の促進や消費者のプライバシー意識の高まりといった背景を踏まえた要件が追加されています。

PwCは、個人情報保護法への対応に向けた現状把握から課題の抽出、海外拠点も含めた対応方針の策定・導入まで、幅広い支援を提供します。

2022年4月施行 個人情報保護法のポイント

個人情報保護法は、個人情報の保護とデータの利活用のバランスを図る形で改正が重ねられてきました。直近では、消費者の個人情報やプライバシーの保護に対する意識の高まり、技術革新を踏まえた保護と企業のデータ利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点から、主に以下の改正がなされました。企業は、消費者をはじめとするデータ提供者(データ主体)の権利を保護するとともに、個人情報保護法によって課される義務への備え、イノベーション促進への対応法を検討していく必要があります。

データ主体の権利強化

  • 企業が6カ月以内に消去する「短期保存データ」も保有個人データと見なし、開示請求の対象に
  • データの開示方法について、デジタル形式での開示をデータ主体が指定可能に

第三者提供時の制限の拡大

  • オプトアウトによる第三者提供が許可される個人データの範囲を制限
  • データ主体へ通知すべき項目を拡充(提供先の名称、移転先国、責任者の名前など)

個人情報漏えい時の報告を義務化

  • 個人情報の漏えいが発生し、個人の権利や利益を害する恐れがある場合、原則として個人情報保護委員会への報告とデータ主体への通知を義務化

データ利活用の促進と遵守事項の明確化

  • 「仮名加工情報」の新設により、データ主体からの開示・利用停止請求への対応の義務といった一部要件を緩和
  • 個人関連情報の第三者提供に際し、本人同意などが必要に

域外適用の拡大、および越境移転の制限強化

  • 日本国内にある者に係る個人情報等を取り扱う外国事業者を報告徴収・命令の対象に
  • 外国にある第三者への個人データの提供時に、本人へ情報提供すべき項目が拡充

出典:「個人情報の保護に関する法律等の一部を改正する法律(概要)」(個人情報保護委員会)をもとにPwCが作成

個人情報保護法への対応策

個人情報保護法への対応策としては、主に1. データマッピング、2. 運用フローの見直し、3. システム改修、4. ドキュメント類の改訂、5. 従業員教育が挙げられます。

1. データマッピング

自社グループ内で取り扱う、日本に居住するデータ主体の個人情報の取り扱いフローを可視化することが求められます。特に、個人関連情報や仮名加工情報に該当するデータを把握し、個人関連情報については第三者提供先において個人データとなることがないか、仮名加工情報についてはどのように加工すべきかを検討していく必要があります。

2. 運用フローの見直し

既存の個人情報保護の運用フローを改正個人情報保護法に合わせて見直す必要があります。具体的には、個人情報を第三者に提供する際、または第三者から受領する際に記録を取り、同意を取得することが必要となります。また、データ主体から開示請求を受領した時や、個人情報の漏えいが発生した時の社内外の連携プロセスを見直し、仮名加工情報については加工手法を具体化していく必要があります。

3. システム改修

個人情報漏えいを防止するためにはDLP(Data Loss Prevention)、SIEM(Security Information and Event Management)、CASB(Cloud Access Security Broker)といった情報セキュリティ対策や、個人データを安全に利用するために匿名化・仮名化を実現する加工技術(例:マスキングやトークナイゼーション)の実装を検討する必要があります。また、個人情報のデータガバナンスと連動してデータ主体の個人情報を適切に取り扱うためには、Cookieをはじめとする個人関連情報も含め、本人からの同意を取得・管理する体制を構築しなくてはなりません。さらにはデータ主体のID情報を管理し、アクセスを適切に行えるようにするためにはCIAM(Customer Identity Access Management)の導入を検討することも求められます。

4. ドキュメント類の改訂

上記1.~3.の検討結果を社内の規程類や委託先との契約書、プライバシーポリシーなどへ反映する必要があります。

5. 従業員教育

eラーニングなどを通じ、改正個人情報保護法の概要の学習や、1.~4.の実施により変更されたドキュメント類や社内運用フローを従業員に周知徹底することが必要です。

PwCのサービス

個人情報保護法への適切かつ確実な対応に向け、PwCは「現状把握および個人情報保護法とのギャップの特定」「対応方針の検討」「対応策の実行」の3つのステップでクライアントを支援します。また個人情報保護法の域外適用を見据え、海外拠点における対応もサポートします。

ステップ1. 現状把握および個人情報保護法とのギャップの特定

クライアントが個人情報を取り扱う業務・運用を全て洗い出します。その結果をもとに、個人情報保護法への対応状況(通知、第三者提供の同意の取得、安全管理措置の実施状況など)を確認し、個人情報保護法と現行の運用フローのギャップを特定します。

ステップ2. 対応方針の検討

ステップ1で特定したギャップを踏まえ、対応方針や具体的な対応策を検討します。

また、クライアントが海外で日本法の適用を受ける個人情報を取り扱っている場合は、その国の個人情報の保護に関する制度などの外的環境を把握し、その環境を踏まえて個人情報を適切に管理・保護する必要があります。クライアントの海外拠点を含め、    対応の役割分担やスケジュールを含めた方針を検討します。 

ステップ3. 対応策の実行

ステップ2で検討した対応方針・対応策を基に、実行を支援します。さらに、個人情報保護委員会から発出される情報や外的環境の変化を踏まえ、必要に応じて追加施策を検討します。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

平岩 久人

パートナー, PwC Japan有限責任監査法人

Email

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

森田 成祐

パートナー, PwC Japan有限責任監査法人

Email

篠宮 輝

シニアマネージャー, PwCコンサルティング合同会社

Email