ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

いま世界で、セキュリティとプライバシーの
法制度が大きく変わろうとしている

デロイト トーマツ リスクサービス
【第4回】 2017年7月27日
著者・コラム紹介バックナンバー
previous page
3
nextpage

2.個人情報とプライバシーに関連する法制度

個人情報保護法の改正法が施行

 「個人情報の保護に関する法律」、いわゆる個人情報保護法(以下、個人情報保護法という)は、今年(2017年)5月30日、ついに改正法が施行されました。この改正が行なわれたことで、日本における個人情報保護、プライバシー保護に関する法制度は大きな転換点を迎えたと言ってよいでしょう。

 今回の改正では、個人情報保護委員会の設立や匿名加工情報、識別符号に関する定義など、非常に多くの変更が行われており、一定のルールの下に個人に関する情報を利活用を促進すると同時に、国際的なプライバシー保護水準に近づけるための大きな前進になると期待されています。

 すでに政令や委員会規則、FAQ、委員会レポートなどが公開され、企業の実務現場では、より具体的に対応していく必要があります。特に一般消費者の個人情報を取り扱い、今後ビッグデータとして分析・活用や、それに伴う匿名加工情報の作成・利用を考えている企業は留意していく必要があるでしょう。

GDPRの影響と個人データの域外移転

 プライバシー保護の枠組みとして、これまでEU加盟国に適用されてきたデータ保護指令に替わり、一般データ保護規則(GDPR: General Data Protection Regulation)が採択されました。適用が開始される2018年5月以降は、企業に対し今まで以上の義務が課されており、現地の従業員や顧客等の個人データを取り扱う企業においてはその内容を理解し対応を進めておくことが重要になっています。2017年に入ってから、日本の大手グローバル企業では対応準備が急速に進んでおり、報道でも「GDPR」の文字を頻繁に見かけるようになりました。

 GDPRが大きな課題となった理由の1つは、グローバル連結売上の最大4%という高額な罰金と、それを適用する対象に個人データの違法な域外移転が含まれていることです。(そもそもこの法規制があることを知らずに人事システムなどで欧州から個人データを持ち出し、事実上違法状態になっている日本企業は実際に存在します)GDPRでは、現行法であるEUデータ保護指令から引き続き、EU域外への個人データの移転を規制しています。自由に個人データを持ち出すことができる移転先はEUが「十分性認定」をした国・地域に限られますが、日本はそれに含まれていません。そのため、EU加盟国(正確にはEEA:欧州経済領域まで適用)から日本に個人データを移転するためには、EUが「例外措置」として定めた手続にしたがう必要があります。

previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧