近年、長期的な内需低迷の打開策として、ビジネス躍進の活路をグローバル展開に求める企業が増えています。グローバルビジネスを展開するためには、市場戦略、海外拠点の設立、生産・流通体制の確立、システムのグローバル対応、人員の確保など、さまざまな面から綿密な計画が必要になりますが、その際、グローバルに対応した個人情報保護対策も重要になります。
また、すでにグローバルビジネスを展開している企業にとっても、ビジネス環境の変化、個人情報保護関連法案の改正状況などに応じて、個人情報保護対策の見直しを継続して行う必要があります。海外で事業を展開する場合は、当然のことながら現地の個人情報保護に関する法律を順守する必要があり、そのためにも、まずは個人情報関連法の知識を把握することが大切です。
EUから始まった個人情報保護の法整備
そもそもグローバルでの個人情報保護の法整備はどのように進められてきたのでしょうか。本格的な対策としては、1995年のEUデータ保護指令(Directive 95/46/EC)の制定にさかのぼります。それ以前にもプライバシーに関する議論やガイドラインなどが存在しましたが、実効性に乏しいものでした。そこでEUではデータ保護指令を策定し、EU各国はそれに基づき法整備を進めました。
EU以外の国々はこの情勢を踏まえて対応を進めてきましたが、日本においても2003年に個人情報保護法(個人情報の保護に関する法律)が成立しました。つまり、日本の個人情報保護対策はグローバルでの流れを受けて進められてきたものなのです。
活発化する個人情報関連法改正
近年は、個人情報保護関連法案を改正する動きが活発化しています。日本では2017年に改正個人情報保護法が施行されたほか、EUにおいてもより効力が高い一般データ保護規則(General Data Protection Regulation:以下、GDPR)が2018年にEUデータ保護指令に代わって施行されています。
EUデータ保護指令は「指令」なので、具体的な法制化は加盟各国が行っていましたが、GDPRは「規則」として強制力を持ち、個人情報の「移転」や「処理」などについてのルールが定められました。GDPR対象地域でビジネスを展開するためには、当然ながらGDPRへの対応が必要となります。
| ■ 関連情報 動き出したEU一般データ保護規則「GDPR」 ~日本企業に課せられた責務は?~ https://www.jsecurity.co.jp/clm_20180703 |
個人情報保護のグローバル対応のためには?
ビジネスをグローバル展開する際は、海外拠点のスタッフを現地採用するなど、多くの場合、複数の国籍の社員が在籍することになります。また、そうした人材を有効に活用するためには、働く国を限定せずに、流動的な人事政策を推進することが求められるでしょう。
そうした場合、人の異動と同時にその社員の個人情報も国を移ることになりますが、その際、GDPRをはじめとした対象地域の個人情報関連法に対応する必要があります。もちろんグローバル企業が扱う個人情報は社員情報だけではありません。顧客情報、取引先の担当者情報など、さまざまな個人情報を扱っているので、それらについてもグローバル対応が求められます。
米国や中国での個人情報関連法の整備状況
個人情報に関するコンプライアンス対策としては、日本やGDPRへの対応が話題に上りがちですが、グローバルビジネスを推進する場合、米国や中国などさまざまな国や地域の法制への対応も同様に必要になります。
例えば、米国では包括的に個人情報を規制する法律は整備されておらず、個別の事案ごとの法律(金融プライバシー権利法、児童オンラインプライバシー保護法など)や州法で規制しています。従って、自社のビジネスに関連する個別法を検証するほか、ビジネス活動を行う州の法律についても把握する必要があります。
また中国でも刑法や消費者権益保護法などの個別の法律で対応していましたが、2017年6月に中華人民共和国インターネット安全法(中華人民共和国网絡安全法)が施行されました。この中の第4章「インターネット情報の安全」において個人情報の区分や収集・保管・使用の規則などが定められています。中国でビジネスを推進するためには、これらの法制度をしっかりと理解する必要があります。
「人」と「システム」の両面から対策を推進
このように個人情報関連法は国によって状況が異なるため、グローバルでの個人情報保護対策に取り組むためには、ビジネスを展開する国々の法律を詳しく把握し、対象となる個人情報を特定する必要があります。その上で国や地域別の対策を具体化することになりますが、そこでは主に「人」と「システム」の観点が求められます。
「人」の観点では、社員やスタッフが個人情報を扱う際の手順やルールを定め、業務プロセスを整備することになります。場合によっては入退室管理が求められることもあるでしょう。
「システム」の観点では、システム内に保存された個人情報の管理や運用を見直す必要があります。こうした対策をグローバルのすべての拠点に施すことで、それぞれの国や地域のコンプライアンスを徹底することができるようになります。
全社的な個人情報管理を推進するために
前章でITシステムの対策について触れましたが、具体的にはどこから着手することになるのでしょうか。まずは、グローバル全拠点のシステム内のどこにどのような個人情報が保存されているのかという状況の把握が大切です。
一口に個人情報の把握といってもその作業は単純ではなく、例えば、社員の情報は基本的には人事システムに保存されていますが、そこだけを管理すれば十分というわけではありません。メールやコラボレーションツール内に保存されている可能性もあれば、Webサイトに掲載されているケースもあります。場合によっては思いもよらない場所に保存されているかもしれません。
困難を伴う手作業による個人情報の把握
それらの個人情報を手作業で探し、しっかりと保存場所をリスト化することは、多くの労力を必要とすると同時に、チェック漏れなどのミスにつながるリスクもあります。ささいな不注意が重大な個人情報流出という不祥事を引き起こしかねません。
さらに、システム内の個人情報の保存状況は日々変化します。そうした変化を漏れなく監視し、個人情報管理を徹底するとなると、もはや手作業に頼ることは現実的ではないでしょう。
個人情報の管理・運用面での課題
システム内の個人情報を把握できたとしても、その管理方法はどのように行えばいいのでしょうか。個人情報の種類別に保存場所をルール化し、アクセス権限を個別に設定する、あるいはメディアや印刷物からの流出防止のためにそれらの運用ルールを徹底するといった対策が必要になります。また必要がなくなった個人情報は間違いなく削除するということも求められます。
しかし、こうした管理手法を人手に頼っていると、作業ミス、ルールの不徹底などの問題につながる可能性があります。
ツールの活用で効率化とリスク削減を実現
個人情報管理を徹底するためには、こうした一連の作業を自動化するツールを活用することが有効になります。「システム」面の対策にツールを活用することは、「人」の観点での対策を軽減することになり、よりリスクを削減することができるようになります。
ツール導入のためには一定のコストが必要になりますが、手作業の軽減、個人情報漏えいリスクの低減、ひいては不祥事によるブランドイメージ失墜の防止という効果を考えると、導入のメリットは大きく、ましてやグローバルでのシステムの個人情報管理を徹底するためにはさらに大きな効果が期待できます。