「アフターGDPR」におけるプライバシー保護のグローバリゼーション

2．プライバシー保護のグローバリゼーションのために企業が行うべき3つの施策

それでは企業は、こうした状況下でどのような施策を講じればよいのでしょうか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明します。

プライバシー保護施策は一般的に、データマッピング、規程類の策定、グループ管理体制の構築、越境移転への対応、データ主体（ユーザー）の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられます。その中でも特に肝となる論点は、「グローバル管理体制の構築」、「ミニマムのプライバシー保護レベルの設定」、「データマッピングとデータ主体の権利への対応」の3点です。

1）各グループ会社が連携するグローバル管理体制の構築

各国の個人情報保護法の動向を把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となります。各国の法令下でデータ保護オフィサー（DPO：Data Protection Officer）の設置が求められているか否かに関わらず、企業のビジネス戦略やプライバシー保護へ関与する責任者であるチーフプライバシーオフィサー（CPO：Chief Privacy Officer）やそれを支援するコンプライアンス部門の設置が推奨されます。

既にこうした取り組みを実施している企業は、ビジネスを展開する地域の統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のコンプライアンス部門と連携しながら、プライバシー保護に係るアドバイスの提供や監視を行っています。またコンプライアンス部門は、CPOからのアドバイスなどをもとに、プライバシー保護の施策を導入・運用しています。

さらに、全従業員が、CPOやコンプライアンス部門が策定したプライバシー保護に係るルール、体制、運用手順などの情報に対して簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨されます。

2）ミニマムのプライバシー保護レベルの設定

先に述べたように、各国の個人情報保護法は異なっています。一般的に、欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、未だ途上段階にあると言われています。欧州のGDPRは、プライバシー保護の「グローバルスタンダード」であると言われてはいるものの、当該法令の要件をグループの全拠点へそのまま適用することは、地域特性の違いから難しいでしょう。一方で、多額の制裁を科されるリスクも避けなければいけません。そのため、グローバルにビジネスを展開する企業は、各国の法令の特異性を考慮した上で、ミニマムのプライバシー保護レベルを設定する必要があります。既に取り組みを実施している企業は、自社の地域統括拠点がある国々の法令と要件の差分を把握した上で、独自のグローバルプライバシー保護レベルを設定し、それをもとにグループ会社へプライバシー保護対策を導入・運用しています。

3）グループ内外におけるデータマッピングに基づいたデータ主体の権利への対応

法令の厳格化、データ主体の権利強化に伴い、各国では、ユーザーが個人情報の取り扱いやプライバシーポリシーに係る問い合わせを企業に行うケースが急増しています。実際に、ユーザーからの問い合わせに適切に対応することができず、監督機関から制裁を科されたり、レピュテーションが低下したりした企業も出てきています。

これらのリスクを最小限に抑えるために、企業は、ユーザーから問い合わせを受けた際に、なるべく早く、また正確に応じなければいけません。そのために、企業はグループ内外におけるデータマッピングを行い、自社がユーザーから取得している個人情報の種類、利用目的、適法性の根拠、プライバシーポリシーへの同意の取得状況、第三者提供の状況などを整理しておく必要があります。既に取り組みを実施している企業は、グローバルプライバシー保護レベルをもとに、グループ共通のデータマッピング項目を策定し、CPOや各グループ会社のコンプライアンス部門を通じて、個人情報の取り扱い状況を洗い出しています。