2020年6月に可決・成立した改正個人情報保護法が来年4月1日に全面施行されます。改正は、個人の権利意識の高まりや新たなテクノロジー、グローバル化等に対応し本格的なデジタル社会の構築を目指し行われたもので、事業者の責務を明確化するなど企業にとって大きな影響を含む内容となっています。施行まで半年を切りましたが企業の対応は進んでいるのでしょうか?
PwC Japanが課長級以上にアンケート調査
ロンドンを拠点とする世界最大級のプロフェッショナルサービスファーム、PwCのメンバーファーム、PwC Japanグループでは、改正個人情報保護法への対応状況を明らかにすることを目的に今年6月、日本で事業を行う企業の経営企画室やシステム企画、総務、法務などの課長級以上の管理職631人にWebによるアンケート調査(有効回答者数306人)を実施し、このほど結果を明らかにしました。改正個人情報保護法への対応に着手済みか未着手かを聞いたところ、着手済みと回答した人の割合がもっとも高かった業界は金融業界で79%を占め、建設、医療も着手済みが高い割合を占めたということです。一方、未着手の割合が一番高かった業界は運輸で着手済みの割合は36%にとどまり、製造業も着手済みの割合は40%と半分を下回りました。
着手済みと回答した人に着手の具体的な内容を聞いたところ、社内規程の見直しと回答した人の割合が70%ともっとも多く、次いでプライバシーポリシーや各種通知文書の見直し(67%)や本人請求への対応の見直し(65%)だったということです。一方、対応が進んでいないのは外国の第三者に個人データを提供する際の対応の見直しや個人関連情報への対応の見直しだったということです。
現行の個人情報保護法では、国内の事業者が海外の第三者に個人データを提供できるケースは、本人の同意を得た場合、データの提供先事業者が基準に適合する体制を整備している場合、データ提供先の国が個人情報の保護に関して日本と同等の水準の国である場合のいずれかに限りデータの提供を可能にしていました。改正法ではこれに加えて、データ移転の本人同意を得る際に移転先の外国の個人情報保護に関する制度等の情報を本人に提供することを義務付けたほか、基準に適合する体制を整備している外国の事業者にデータを提供する場合には、外国事業者の契約履行状況の確認など必要とする措置を新たに義務付け、また、本人から求められた場合は措置に関する情報を本人に提供することを義務付けました。しかし、Pwc Japanの調査によると、こうした外国の第三者にデータを提供する際の対応について企業の取り組みはあまり進んでいないようです。
「多くの企業がコンプライアンスリスクを抱えている」
また、今回の改正では、Cookie情報や位置情報などデータの取得時には個人情報に該当しないものの、第三者に提供されることで個人情報になる個人関連情報について、第三者への提供時に本人から同意を得ることが規定されました。アンケート調査の結果からはこうした個人関連情報への企業の対応も進んでいないようで、Pwc Japanは「法務部門がマーケティング部門などで個人情報をどのように取り扱っているのか把握しきれておらず、対応が遅れている可能性がある」と指摘しています。
調査結果についてPwc Japanは「全体でも改正法への対応を開始しているとの回答は約半数にとどまり、多くの企業がコンプライアンスリスクを抱えている実情が見て取れます」と評価、対応が進んでいない理由について聞いたところ「専任部門がない」「人員や予算の不足」との回答が多く、「経営層の理解が不十分なため」との回答もあったということです。調査は今年6月時点の結果ですが、来春の全面施行に向けて企業の対応はどこまで進んでいるのでしょうか?「企業の間でも、組織で取り扱う個人情報から生じるリスク認識に差があることが浮き彫りになりました。多くの企業において、認知すらできていない法的要求事項とのギャップや、消費者心理を損なう危険性が多数潜在しているように見受けられました」としています。
■出典
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/personal-information-protection-law1.html