Skip to content Skip to footer
Search

Loading Results

改正個人情報保護法への対応支援

2020年6月に「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正個人情報保護法)が公布されました。改正個人情報保護法では、近年の各国の個人情報保護法の厳格化、データ利活用の促進や消費者のプライバシー意識の高まりなどの背景を踏まえた要件が追加されています。
2022年の全面施行に向けて、企業は同法が求める内容と現状の運用のギャップを把握し、対応を開始する必要があります。PwCは、改正個人情報保護法対応に向けた現状把握から課題の抽出、海外拠点も含めた対応方針の策定・導入を支援します。

改正個人情報保護法のポイント

今般の改正では、消費者の個人情報やプライバシーの保護に対する意識の高まり、技術革新を踏まえた保護と企業のデータ利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応などの観点から、主に以下の措置が講じられることになりました。企業は、消費者をはじめとするデータ提供者(データ主体)の権利を保護すると共に、改正法によって課される義務への備え、イノベーション促進への対応法を検討していく必要があります。

  • データ主体の権利強化
    • 企業が6カ月以内に消去する「短期保存データ」も保有個人データと見なし、開示請求の対象に
    • データの開示方法について、デジタル形式での開示をデータ主体が指定可能に
  • 第三者提供時の制限の拡大
    • オプトアウトによる第三者提供が許可される個人データの範囲を制限
    • データ主体へ通知すべき項目を拡充(提供先の名称、移転先国、責任者の名前など)
  • 個人情報漏えい時の報告を義務化
    • 個人情報の漏えいが発生し、個人の権利や利益を害する恐れがある場合、原則として個人情報保護委員会への報告とデータ主体への通知を義務化
  • データ利活用の促進と遵守事項の明確化
    • 「仮名加工情報」の新設により、データ主体からの開示・利用停止請求への対応の義務といった一部要件を緩和
    • 個人関連情報の第三者提供に際し、本人同意などが必要に
図1 改正個人情報保護法のポイント

改正個人情報保護法への対応策

改正個人情報保護法への対応策としては、主に1. データマッピング、2. 運用フローの見直し、3. システム改修、4. ドキュメント類の改訂、5. 従業員教育が挙げられます。

図2: 改正個人情報保護法への対応策
  1. データマッピング
    自社グループ内で取り扱う、日本に居住するデータ主体の個人情報の取り扱いフローの可視化が求められます。特に、個人関連情報や仮名加工情報に該当するデータを把握し、個人関連情報については第三者提供先において個人データとなることがないか、仮名加工情報については加工手法を検討していく必要があります。
  2. 運用フローの見直し
    既存の個人情報保護の運用フローを改正個人情報保護法に合わせて見直す必要があります。具体的には、第三者への個人情報の提供時・受領時の記録・同意の取得、データ主体からの開示請求受領時や個人情報漏えい時の社内・社外の連携プロセスの見直し、仮名加工情報については加工手法を具体化していく必要があります。
  3. システム改修
    DLP(Data Loss Prevention)、SIEM(Security Information and Event Management)、CASB(Cloud Access Security Broker)といった個人情報漏えい防止のための情報セキュリティ対策、個人データを安全に利用するための匿名化や仮名化を実現するマスキングやトークナイゼーションなどの加工技術の実装を検討する必要があります。また、個人情報のデータガバナンスと連動して、データ主体の個人情報を適切に取り扱うためのCookieなど個人関連情報も含めた本人からの同意取得・管理などの導入や、データ主体のID情報を管理しアクセスを適切に行えるようにするためのCIAM(Customer Identity Access Management)の検討などが求められます。
  4. ドキュメント類の改訂
    1.~3.の検討結果を社内の規程類や委託先との契約書、プライバシーポリシーなどへ反映していく必要があります。
  5. 従業員教育
    eラーニングなどを通じた改正個人情報保護法の概要の学習や、1.~4.の実施により変更されたドキュメント類や社内運用フローの従業員への周知徹底が必要です。

PwCのサービス

改正個人情報保護法への適切かつ確実な対応に向け、PwCは「自社の個人情報保護対応の現状把握」「改正個人情報保護法と現状とのギャップ把握と対応方針の検討」、「対応策の導入」の3つのステップで企業を支援します。また改正個人情報保護法の域外適用を見据え、海外拠点における対応も行います。

ステップ1. 自社の個人情報保護対応の現状把握

自社の個人情報保護対応の現状を洗い出し、そもそも現行の個人情報保護法に対応できているかを確認します。また、保有する個人データのデータ主体の居住国を調べ、改正個人情報保護法をはじめ遵守すべき法律とその要件を洗い出します。

ステップ2. 改正個人情報保護法と現状とのギャップ把握と対応方針の検討

ステップ1で調査した法律とその要件をもとに、現行の個人情報保護の運用フローとのギャップを把握します。その上で、対応方針や具体的な対応策を検討します。海外拠点を含め、対応の役割分担やスケジュールも併せて作成します。

ステップ3. 対応策の導入

ステップ2で検討した対応方針をもとに、対応策を実施します。個人情報保護委員会から発出される情報をもとに、必要に応じて追加施策を適宜検討します。

図表3: PwCのサービス

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}

主要メンバー

平岩 久人

パートナー, PwCあらた有限責任監査法人

Email

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

森田 成祐

ディレクター, PwCあらた有限責任監査法人

Email

篠宮 輝

マネージャー, PwCコンサルティング合同会社

Email