法制度対応/CSR 法制度対応/CSR記事一覧へ

[市場動向]

変わる個人情報保護法制─世界の個人データ保護関連法令の改正動向とポイント[前編]

2017年9月7日(木)大洞 健治郎(KPMGコンサルティング)

欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

 インターネット上のサービスにおけるパーソナライズ化は、ますます高度化、複雑化が進んでいます。例を挙げましょう。

  • 朝目覚めると、ベッドサイドの情報デバイスが今朝の体調を分析して、お勧めのサプリやエクササイズを提案してくれる。
  • スマートカーで記録された運転履歴をもとに『優良ドライバー』であると認定されたため、自動車保険の更新後保険料が安くなる。
  • モバイルの画面には、最新のニュースと過去の売買傾向を分析した結果として本日のお勧め取引が表示されている。指紋認証で承認すると取引が自動実行される。

 これらはすでに実現されているか、すぐにでも実現可能です。とても便利な半面、取得される個人データが万一、漏洩したり悪用されたりすると大きな問題を生み出しかねません。

加速する個人データの収集・活用の流れ

 サービスの提供主体である企業から見た時、「サーバー上に保存された顧客データベース」だけを守っていれば良い時代は過ぎ去り、守るべき「情報」の定義や「データ利用」の概念自体から、見直しを行わなければならない状況となってきています。

 個人データと言えば、これまでは契約時に取得した名前や住所、電話番号が中心でした。しかし現在は、契約時に提供される基本的な個人データに加え、その際に付与される会員番号やオンラインIDなどをキーとして、その後の様々な行動履歴が継続的に収集・蓄積されるようになってきています(図1)。

図1 新たな個人データ取り扱い形態のイメージ
拡大画像表示

 このようなケースでは、最初の基本的な個人データの取得こそ明示的に行われるものの、その後の個人データの取得は、本人が意識していない状態で行われることも少なくありません。例えば、CookieでWebの閲覧履歴がモニタリングされていたり、商品の購入でポイントを付与される都度、購買履歴が収集されていたりするといったことがその例です。

 こういった大量の個人データの収集・活用の流れはインターネット利用者の増加や(図2)、FinTechの発展・普及によりさらに加速していくと考えられます。銀行のAPI(Application Programming Interface)開放に伴うノンバンクプレイヤーの参入により、プリペイドカードや仮想通貨などの多様な決済手段が一般化し、サービス事業者のビッグデータ分析・AI分析と、これらフィンテック企業の電子決済サービスとを直結した新たなサービスが一斉に広がると想定されるからです。

図2 インターネット利用者の増加
拡大画像表示

 個人データ利用形態のこのような変化は、サービス提供企業と消費者の間だけでなく、企業とその従業員との間でも同様に生じています。従業員の労務管理目的で貸与スマートホンの位置情報や移動情報などをモニタリング可能としている企業や、データ漏洩を防止するために、メール内容のセンサリングツールなどを導入している企業も増えてきました。

 従業員は企業人であると同時に、個人データを企業へ提供するデータ主体でもあります。ですから、このような状況をデータ主体側から見た時に、どのような不安や懸念を頂くかについて想像することは難しくないでしょう。まず、そもそも自分のデータがどの程度収集されているのか?またそれをどこでどのように保管・利用されているのか?その状況を自分はコントロールできるのか?こういったことが不明確だと気持ち悪く感じるのは当然です。

新たな取り扱い形態に対して消費者が抱く不安・懸念

 話を消費者など個人に戻しましょう。個人データは、どういった事業者間で共有されているのか? 事故が発生した時には誰が責任を負うのか? 事故を起こした会社が海外企業だった場合にも責任追及はできるのか? そもそも関連事業者が事故を起こした場合にもちゃんと通知を受けられるのか?多くの方は、まずこういった点で懸念を持たれるのではないでしょうか。

 「アプリをダウンロードする時に確かに同意ボタンは押したけど、どこまで同意したのかははっきり分からない」という方も少なくないでしょう。もし取り扱いを停止して欲しいと思った場合に、その事業者は取り扱いを停止してくれるのでしょうか? 典型例が「忘れられる権利」です。昔、起こした犯罪に関する罪を償って社会復帰しようとした。ところが検索すると犯罪と名前が紐付いた形で表示されるため、雇用契約を結べない――。

 また、サービスを構成するすべての事業者において、決済データを含む個人データの十分な保護措置あるいはセキュリティ対策を講じてもらえるのでしょうか? 自分の知らないところで、勝手な利用が行われないように誰かがチェックしてくれないのでしょうか?

 ここまでの話が長くなりましたが、個人データに関わる不安や懸念は高まる一方です。そうした不安に押されるかのように最近、EUをはじめとする各国政府は相次いで個人データの保護に関する関連法令を改正、強化する動きを採っています(表1)。対象となるのは、大手のネット企業だけではありません。

表1 世界中で一斉に変わりつつある個人データ保護法令~直近の改正例~
拡大画像表示

 従業員の個人データも含めると無関係な企業はないと言っていいでしょう。しかも違反すると最大で売上高の4%にも上る罰金を科されるケースがあるだけに、どんな企業も注意を払う必要があります。ここでは企業のCIOやCSO、IT責任者が押さえておかなければならない個人データの保護に関する法令のポイントを解説します。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

GDPR / 個人情報保護法 / パーソナルデータ

関連記事

トピックス

[Sponsored]

変わる個人情報保護法制─世界の個人データ保護関連法令の改正動向とポイント[前編]欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

PAGE TOP