カテゴリー
キーワード

規制強化で高まるDX推進リーダーの法律リテラシーの重み

         

DX(デジタルトランスフォーメーション)を推進する上で、現場はどれくらい「法律」のことを意識できているだろうか。データ利活用の議論では、収集したデータを経営企画、マーケティング、サプライチェーンマネジメントなど、価値向上につなげていくことばかりに論点が当てられるが、データはプライバシーが深く関わるだけに、本来は「法律(規制)」の観点でも議論されるべきだ。各部門レベルでも、テレワークの拡大でIT部門が把握していないSaaS利用(シャドーIT)が一気に増えるなど、DX化の速度に法律の対応が追い付いていない印象は拭えない。

データ管理の在り方が厳しく問われ、国内外で規制が強化されている中、DX推進リーダーや現場が持つべき法律の視点について、データ利活用とサイバーセキュリティーに精通するTMI総合法律事務所の寺門峻佑弁護士に聞いた。

海外のデータ保護に関する規制強化が大きなリスクに

企業におけるデータ管理体制が問われるようになっている。最近では、欧州の「一般データ保護規則」(GDPR)、米カリフォルニア州の「消費者プライバシー法」(CCPA)など、厳しい規制も登場している。日本企業にはどのような影響があるのか。TMI総合法律事務所の寺門峻佑弁護士は次のように答える。

TMI総合法律事務所 パートナー・
TMIプライバシー&セキュリティコンサルティング株式会社取締役 寺門峻佑弁護士

「GDPRは2018年5月に施行されました。当時は、企業として、法令に準拠するための体制整備についての相談が舞い込みました。最近は企業としての体制整備は進んでおり少し落ち着いていますが、一方で、海外にも顧客のいるアプリやゲーム、クラウド上で各種サービスを提供するSaaSビジネスを展開する際に、海外の法令に準拠しなければならない要請があり、その種の依頼が増えています」

データを取り扱うビジネスを行っている企業にとって、GDPRやCCPAなどの法令は当然知っていなければならないレベルになってきている。さらに新たなリスクも生まれているという。

「中国やロシア、ベトナムなどは、データを自国から出すことを原則として禁ずるデータローカライゼーションという規制を設けています」

例えば中国であれば、特定の企業は、中国国内で収集した食品のトレーサビリティー情報や金融情報などを中国国内で保管しなければならないというルールになっている。その際に留意しなければならないのは、データの保管場所だけでなく、データの閲覧についても制限の対象となることだ。すなわち、データの物理的な持ち出しがなくとも、例えば、日本企業が中国に現地法人を設立した場合、そのデータを本社から閲覧することもできないのである。

「さらに注意すべきは、現在はその対象が通信や金融、水道などといった重要情報インフラ運営者と言われる企業に限定されているのですが、今後は中国国内ネットワークを持っている企業全般が、幅広く対象になる可能性があります。中国に市場を求める企業は、動向をウォッチし続ける必要があるでしょう」

ところで、個人データの漏えいなど、GDPRに違反するようなケースが発生すると、どのようなリスクがあるのだろうか。

「GDPRは制裁金が高額です。違反した場合、2,000万ユーロ(約26億円)または、全世界での総売り上げの4%が、制裁金として科される場合もあります」

例えば、売上高1兆円のグローバル企業の場合、最大で約400億円の制裁金を科されることになる。経営に大きなインパクトを与えることになるのは言うまでもない。実際に、ある海外大手企業が顧客情報を流出させた際には、約250億円の制裁金が提示されたこともある(その後、最終的には大幅に減額された)。他にも巨額の制裁金を命じられた企業は少なくない。

「情報漏えい事故だけでなく、ユーザーに対する情報提供が不十分であり透明性が認められないとして、数十億円の制裁金が科されたケースもあります」

日本の企業経営者やマネジメント層にとっては、そのようなリスクが増大していることを意識すべきだろう。

2022年4月から改正個人情報保護法が施行

日本の個人情報保護法についても、新しい動きがある。2021年6月に、改正個人情報保護法が公布され、2022年の4月から施行される。

「改正個人情報保護法では、ネットの閲覧履歴が分かる『Cookie』と呼ばれる情報の取得について、個人データと紐づけて利用することが想定される場合に、事前にユーザーの同意を得ておくことを義務付けているのが大きな特徴です。この他、個人データを漏えいしてしまった場合の個人情報保護委員会への報告も義務化されます」

企業にとって対策が必須になるが、欧米の企業に比べ、日本企業は個人情報保護に関する意識が低いという印象を受ける。実際のところはどうなのだろうか。

「日本企業も、法令への対応がまったくできていないわけではありません。プライバシーマーク(Pマーク)や、情報セキュリティー・マネジメント・システム(ISMS)などの認証を取得しているところもあります。ただ、これらの認証を取得した後、それがお飾りになってしまっていて実体が伴っていない企業も少なくありません。例えば、自社でどんな個人データをどのように収集し管理しているのかを、担当者が理解していないというケースです。データ利活用のための体制整備プロジェクトをよく受託していますが、プロジェクトが始まってみると、個々のデータの所管が人事部だったり、マーケティング部だったり、営業部だったりして、誰も全体を把握していないということがよくあります」

今回の改正個人情報保護法では、自社がどのようなデータをどう取り扱っているのか、現状を把握しないと改正されたポイントに対応できない。
「改正に対症療法的に対応するのではなく、これをきっかけに個人情報保護に対するリスクをアセスメント(評価)できるような組織づくりに取り組むことが大切です」と寺門氏はアドバイスする。

改正個人情報保護法のポイントとリスク

改正個人情報保護法に抵触しないために、DX推進リーダーや現場は、どのような視点を持つべきか。

「今回の改正ポイントは、『Cookie』の利用制限など、デジタルマーケティングにかなり関係が深いところです」

寺門氏がこう述べるように、「Cookie」はすでに多くの企業で、マーケティング活動などに利用されている。広告代理店やDMP事業者などに依頼すれば、自社のサイトを訪問しているユーザーが他社のどのサイトを閲覧しているかといったデータを得ることもできる。

「あらゆる全ての『Cookie』の取扱いが今回の規制の対象になるわけではありません。ただし、類型がやや複雑で、調べてみないことには、自分たちが今回の改正法の規制対象になる行為をしているのかどうか分からないので注意が必要です。その点に意識を払わずこれまで通りの運用を続けるということは、その企業が違法行為をしてかまわないと思っていると判断されても仕方がありません」

改正個人情報保護法に違反すると、GDPRなどと同様に、当事者には罰金が科される。ただしその上限は法人の場合、1億円で、GDPRの制裁金などに比べると金額は小さい。

「確かに金額はさほど大きくありません。さらに、日本では違反した場合も勧告や指導にとどまり、罰金まで科される例はほとんどありません。ただし日本ではレピュテーション(評判)リスクが大きいのが特徴です。マスメディアで報道されると、ユーザーに対するネガティブな印象が一気に高まり、大きなダメージを被ります」

近年も、大手企業に対して個人情報保護委員会が勧告や指導を行った結果として、マスメディアで大きく報道されるケースが複数発生しているが、これによるビジネスへのインパクトは大きいものと推察される。

「顧客が離れるだけではなく、日本ではひとたび事件・事故が起きると、そのままサービスを提供し続けることが極めて難しいという特徴があります。再発防止策を講じるために、半年から1年以上の時間を費やした企業も少なくありません。例えばECサイトでビジネスを行っている場合などは、その間のビジネスが停止し、売り上げが立たないことになります」

そのため、企業によっては、事業を他社に売却したり、事業そのものを廃止したりするところもある。寺門氏が指摘するように、被害は罰金額以上と言える。

寺門峻佑(てらかど しゅんすけ)氏
TMI総合法律事務所 パートナー 
TMIプライバシー&セキュリティコンサルティング株式会社取締役

カリフォルニア大学ロサンゼルス校(UCLA)ロースクール留学後、アメリカの法律事務所、Wikimedia Foundation, Inc.勤務を経てエストニアへ。2018年9月にTMIに復帰。セキュリティの国家資格である情報処理安全確保支援士であり、データ活用・情報セキュリティ・IT分野に強みを持つ。2019年12月からTMIプライバシー&セキュリティコンサルティング株式会社取締役、2020年6月から滋賀大学データサイエンス学部インダストリアルアドバイザー、2021年1月にTMI総合法律事務所パートナーに就任し、現在に至る。

(取材・TEXT:JBPRESS+稲垣/下原  PHOTO:落合直哉  企画・編集:野島光太郎)

 

 
×

メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。


データ活用 Data utilization テクノロジー technology 社会 society ビジネス business ライフ life 特集 Special feature

関連記事Related article

書評記事Book-review

データのじかん公式InstagramInstagram

データのじかん公式Instagram

30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!

おすすめ記事Recommended articles

掲載特集

デジタル・DX・データにまつわる4コマ劇場『タイムくん』 デジタル・DX・データにまつわる4コマ劇場『タイムくん』 データのじかんをもっと詳しくデータのじかんフィーチャーズ データのじかんをもっと詳しく データのじかんフィーチャーズ 「47都道府県47色のDXの在り方」を訪ねる『Local DX Lab』 「47都道府県47色のDXの在り方」を訪ねる『Local DX Lab』 DXの1次情報をを世界から『World DX Journal』 DXの1次情報をを世界から 『World DX Journal』 データで越境するあなたへおすすめの『ブックレビュー』 データで越境するあなたへおすすめの 『ブックレビュー』 BIツールユーザーによる、BIツールユーザーのための、BIツールのトリセツ BIツールユーザーによる、BIツールユーザーのための、BIツールのトリセツ CIOの履歴書 by 一般社団法人CIOシェアリング協議会 CIOの履歴書 by 一般社団法人CIOシェアリング協議会 なぜ、日本企業のIT化が進まないのか――日本のSI構造から考える なぜ、日本企業のIT化が進まないのか――日本のSI構造から考える 日本ビジネスの血流である帳票のトレンドを徹底解説 日本ビジネスの血流である帳票のトレンドを徹底解説 データを武器にした課題解決家「柏木吉基」のあなたの組織がデータを活かせていないワケ データを武器にした課題解決家「柏木吉基」のあなたの組織がデータを活かせていないワケ BI(ビジネスインテリジェンス)のトリセツ BI(ビジネスインテリジェンス)のトリセツ 入社1年目に知っておきたい差が付くKPIマネジメント 入社1年目に知っておきたい 差が付くKPIマネジメント CIOLounge矢島氏が紐解くトップランナーたちのDXの“ホンネ” CIOLounge矢島氏が紐解く トップランナーたちのDXの“ホンネ” データのじかん Resources越境者のためのお役立ち資料集 データのじかん Resources 越境者のためのお役立ち資料集 AI実装の現在地点-トップITベンダーの捉え方 AI実装の現在地点-トップITベンダーの捉え方 データでビジネス、ライフを変える、面白くするDATA LOVERS データでビジネス、ライフを変える、 面白くするDATA LOVERS データマネジメント・ラジオ by データ横丁 データマネジメント・ラジオ by データ横丁 データのじかんNews データのじかんNews データ・情報は生もの!『DX Namamono information』 データ・情報は生もの! 『DX Namamono information』 ちょびっとラビット耳よりラピッドニュース ちょびっとラビット耳よりラピッドニュース AI事務員宮西さん(データ組織立ち上げ編) AI事務員宮西さん(データ組織立ち上げ編) 藤谷先生と一緒に学ぶ、DXリーダーのための危機管理入門 藤谷先生と一緒に学ぶ、DXリーダーのための危機管理入門 生情報取材班AI時代に逆行?ヒトが体感した「生情報」のみをお届け! 生情報取材班AI時代に逆行?ヒトが体感した「生情報」のみをお届け! データはともだち 〜怖くないよ!by UpdataTV Original データはともだち 〜怖くないよ!by UpdataTV Original データ飯店〜データに携わるモノたちの2.5thプレイス by UpdataTV〜 データ飯店〜データに携わるモノたちの2.5thプレイス by UpdataTV〜 インサイトーク〜データで世界を覗いてみたら〜by WingArc1st + IDEATECH インサイトーク〜データで世界を覗いてみたら〜by WingArc1st + IDEATECH
close close