開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/03/23

個人データ保護規制が各国で次々成立、“コンプラ疲れ”は「国際規格」対応で防げ

世界各国で新たな個人データ保護規制が生まれている。EUでは2018年5月にGDPRが施行され、米国カリフォルニア州では2020年1月にCCPAが施行された。中国では2019年12月にMLPS(情報セキュリティ等級管理弁法)の新標準がリリースされ、タイでは2020年5月に個人データ保護法が施行予定、日本でも2020年内に改正個人情報保護法の見直しがなされる見込みだ。そのほか韓国、カナダ、オーストラリアでも改正の動きがある。これら各国の個人データ保護規制にどのように対応していくか。そのポイントについて、KPMGコンサルティング パートナー 大洞 健治郎 氏が解説した。

photo
各国の個人データ保護規制に対応するために役立つ国際規格とは
(Photo/Getty Image)


各国データ保護規制に対応するマネジメントシステムとは?

画像
KPMGコンサルティング 
パートナー
大洞 健治郎氏

 世界で、新たな個人データ保護法の施行が相次いでいる。「個人情報保護法だけではない。最近はサイバーセキュリティ関連の法令も次々と生まれている」と大洞氏は語る。これらの多くは国外企業にも「域外適用」されるため、グローバル企業のコンプライアンス対応は複雑化している。

 データ保護に関連して企業が抱える課題の多くは共通している。主なものを挙げると、1つ目は、次々と対応が求められることによる、担当部門のコンプライアンス疲れ。2つ目は取引先からのコンプライアンス確認要求に対する回答の負担。3つ目は、トップマネジメントからのデータ活用推進のプレッシャーである。「何をどこまで対応したらよいのか分からない」「本社としてどういったケアをすべきなのか」「どの程度コストをかけるべきなのか」など、企業の悩みが広がっている。

 個人データ保護規制対応とは、「まずは法令違反の取り扱いが生じないような社内のルールやプロセスを作ること」と大洞氏は説明する。法令要件を理解して周知すれば終わりではなく、安全管理やプライバシー保護のための管理プロセス、管理基準、意思決定の仕組み、管理の枠組みを整えることが大前提だ。

「ビジネス現場における個人データの個別管理策およびその点検・改善を担うマネジメントシステムに、規制要件を反映していくことが基本になる」(大洞氏)

 だがマネジメントシステムを作る上で課題となるのが各国の法令要件の差異である。それをどう吸収していけばよいのか。

「グループとして共通の管理の枠組みを『共通ルール』として整え、各国の法規制要件を充足できるようにする。つまり、『共通ルール』で、各国の規制要件の中で一番厳しいものでも充足できるようにしておくことが理想だ。しかし、どうしても『共通ルール』として整備することが難しいものについては、特別に切り出して各国固有のルールとして管理する」(大洞氏)

 具体的には、記録の作成や責任者の設置などの一般的な管理要件は、共通ルールとして各国の法令要求レベルを充足できるようなものにする。一方、各国当局の管理都合で対応しなければならない手続きや義務は、各国固有ルールとして整理する。

「最初からこのような観点により明確に分離することで検討が容易になる。切り出した固有ルールについては、グループ共通の管理の枠組みとひも付け、特別対応として整理しておくと混乱しない」(大洞氏)

 では、どうやって各国の法令情報を収集するのか。現地に子会社がある場合は、拠点担当者が当該国の順守法令を調査・報告するのが望ましい。しかし、このようなタスクを依頼するのが難しい場合は、親会社が代行する必要がある。各国当局のWebページや経済団体・機関等が公表する情報をチェックして、収集することになるだろう。大洞氏は「有償のデータベースサービスやニュースメールサービスを併用するとさらに安心」だと指摘する。

 さらにリスクの高いエリアや特別法が複雑な業界の場合は、グローバルローファームやコンサルティングファームの提供情報を利用するのもおすすめだという。

「ISO/IEC27701」を各国規制対応のベースに

 個別管理策の点検を行うマネジメントシステムのベースとして、大洞氏は、昨年リリースされた「ISO/IEC27701」の活用を推奨する。ISO/IEC27701とは、情報セキュリティ管理の国際規格である27000シリーズ、およびその認証制度であるISMSのスコープを拡張して個人データ保護管理に関わる要件をカバーした、プライバシー情報マネジメントシステムの国際規格である。もちろん、同規格はGDPRにも対応している。

 大洞氏がISO/IEC27701の活用を勧める第一の理由は、グローバルの共通言語として使用可能であることだ。「たとえば、子会社に『27701に対応してください』と言えば、詳しい説明がなくても通じる。また取引先からGDPRに対応しているかを尋ねられても、『27701に準拠した管理をしている』とシンプルに答えることが可能になる」(大洞氏)。

 第二に管理策や導入ポイントが非常に具体的に示されていることだ。「規制対応を考える上でも優秀。バックアップデータに含まれる個人情報削除のポリシーをどうするかなど、すぐに考えつかないような管理要件まで具体的にガイドされているので、検討や検証が容易になる」(大洞氏)

 第三は部門単位や事業単位でも認証取得が可能なこと、第四は経営層にとっても理解しやすいことだ。更に、27701にまとめられたマネジメントシステムや管理策の要件の中で、各国法令の要求レベルが異なる事項についても、丁寧にコメントが追記されている。

「各国規制対応の基礎として使いやすいフレームワークになっている。仮にISO/IEC27701の認証を受けなくても、これをベンチマークにして管理システムを検討することができる」(大洞氏)

【次ページ】ISO/IEC27701をどのように活用するか、具体的なステップ

お勧め記事

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!