個人情報保護法改正のポイントと企業に求められる対応：すご腕アナリスト市場予測（5/5 ページ）

個人情報の取り扱いのグローバル化

　世界各国に進出する国内企業が増えるにつれ、個人情報も国境を越えてやりとりする必要性が高まってきている。例えば海外拠点に勤務する従業員の人事情報や、海外顧客情報などだ。各国で保管、利用するのに問題はないが、国境を越えた形で移転する場合は、現地の法律によって制限が加わる。

　特に厳しいのがEUの「データ保護指令」で、EUが各国の制度を検討し「個人情報保護が十分か否か」を判断する。十分でないと判断されればその国へのデータ移転は認められない。もっとも実際には個別に各国で必要な事務手続きや契約を行えば移転可能になることも多く、これまでの進出企業はそのような方法をとってきた。しかしその時間やコストは一種の障壁ともいえる。

　今後の日本企業の海外進出、あるいは海外でのビジネス展開を考えると、その無駄を省きたい。そのためにはEUから「情報保護は自国と同等に十分」であるという認定（十分性認定）をもらう必要があり、今回の個人情報保護法改正の目的の1つがそこにある。

　改正法では、「国境を越えた適用と外国執行当局への情報提供」（第75条、第78条）が規定され、日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用し、執行に際して外国執行当局への情報提供を可能とする」ことが盛り込まれた。

　さらに「外国事業者への第三者提供」（第24条）により、個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意によるなど、外国への第三者提供について新たなルールが作られた（現行法では日本から海外への個人情報の持ち出しに関する規制はない）。なおEU以外にも国際的なデータ移転が制約される制度を持つ国は増えつつある。

　ちなみに、現在のクラウド環境を念頭に置くと、データの保管場所がどこの国なのかがはっきりしない場合が多い。特にクラウドを利用して人事や顧客情報を保管・活用する場合には、保管場所となるデータセンターのロケーションに注意を払う必要がある。

　今後、海外の顧客データを日本で分析したい、その逆に国内のデータを海外で処理したいというケースがますます増加していくだろう。その場合のシステム構造とデータのロケーションについても注意が必要だ。クラウドの契約やシステム構築時には気をつけたい。

その他の改正事項

　注意しなければいけないのは、これまでは個人情報の件数が5000人分以下の事業者の場合は個人情報保護法の対象外とされてきたのが、今回の改正では例外がなくなり、全ての個人情報取り扱い事業者が対象になることだ。規模が小さくても個人の権利の侵害は大規模事業者と同様に起こるのだから、これは当然といえば当然の対応といえよう。

　他には、オプトアウト規定の厳格化（第23条第2項〜第4項）も挙げられる。オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届け出ることが義務化され、個人情報保護委員会は、その内容を公表することになった。

　以上、今回は改正個人情報保護法のポイントと、企業のとるべき対応として現時点で想定されることを記した。企業としては、従業員や顧客などのプライバシー侵害が生じないように保護対策をしっかりととることを基本にしながら、個人に関する情報を有効に活用してビジネスの活性化を図ることが、改正法によって考えやすくなった。

　利用目的の説明や利用目的変更の際の通知、同意の再取得およびオプトアウトの方法の提示などを十分に検討、実施し、誰にでも分かりやすく「同意／不同意」が行えるようにすることが、今後はますます重要になるだろう。それと同時に個人に関する情報の利活用が推進され、その結果日本の産業振興と経済成長に寄与することが期待されている。