ガートナージャパンは9月15日、日本における2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべきアクションを発表した。
Gartnerは2020年6月、同件に関して企業が重点的に取り組むべき4つのポイントと、最初に取り組むべきステップについて発表している。今回、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の改正個人情報保護法の全面施行前に、セキュリティ/リスク・マネジメントのリーダーが取り組むべきポイントを解説している。
それによると、まずはプライバシー、セキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能とする体制を整え、内外のポリシーを人中心な視点からアップデートし、アウェアネス・トレーニングを実施した上で、プロセス上の対応を見直すとしている。ここでの見直しには、データ主体の権利のリクエスト(SRR)対応、プライバシー・インパクト・アセスメント(PIA)、漏洩時の対応などについても含まれる。
さらに、システム/技術的な対応についても検討する必要があるという。今回の改正では「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏洩時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があるということだ。
同社アナリストでバイスプレジデントの礒田優一氏は、「世界中でデータ活用における取り組みが進んでいますが、その成否を分ける重要なポイントは、セキュリティとプライバシーの本質を理解することです。プライバシーは人間である以上、必要不可欠であり、基本的な人権です。プライバシーを軽視するということは、人権を軽視するということであり、企業は対応を誤れば信頼を大きく失います。企業は、法規制の動向を理解するのみではなく、そうした本質に立ち返り、People Centric (人中心) の視点から、より誠実で透明性のある取り組みを推進する必要があります」と述べ、さらに以下のようにもコメントしている。
「プライバシーの議論は今後10年では収束せず、発展途上の状態が続くでしょう。既存のテクノロジに加えて、プライバシーを強化する新しいテクノロジ (プライバシー強化コンピュテーション) なども出現しています。企業は、そうしたテクノロジのトレンドにも目を向けつつ、People Centric (人中心) な取り組みを強化し、成熟度を高め、規制コンプライアンスの先を行く必要があります。『法令遵守の形式的対応』から『人間重視のプライバシーの議論』へと軸足を移すことで、『当社はコンプライアンスに反していないか』ではなく『当社は正しいことを行っているか』が議論されるようになります」