DX（デジタルトランスフォーメーション）を推進する上で、現場はどれくらい「法律」のことを意識できているだろうか。データ利活用の議論では、収集したデータを経営企画、マーケティング、サプライチェーンマネジメントなど、価値向上につなげていくことばかりに論点が当てられるが、データはプライバシーが深く関わるだけに、本来は「法律（規制）」の観点でも議論されるべきだ。各部門レベルでも、テレワークの拡大でIT部門が把握していないSaaS利用（シャドーIT）が一気に増えるなど、DX化の速度に法律の対応が追い付いていない印象は拭えない。

データ管理の在り方が厳しく問われ、国内外で規制が強化されている中、DX推進リーダーや現場が持つべき法律の視点について、データ利活用とサイバーセキュリティーに精通するTMI総合法律事務所の寺門峻佑弁護士に聞いた。

海外のデータ保護に関する規制強化が大きなリスクに

企業におけるデータ管理体制が問われるようになっている。最近では、欧州の「一般データ保護規則」（GDPR）、米カリフォルニア州の「消費者プライバシー法」（CCPA）など、厳しい規制も登場している。日本企業にはどのような影響があるのか。TMI総合法律事務所の寺門峻佑弁護士は次のように答える。

TMI総合法律事務所　パートナー・
TMIプライバシー＆セキュリティコンサルティング株式会社取締役　寺門峻佑弁護士

「GDPRは2018年5月に施行されました。当時は、企業として、法令に準拠するための体制整備についての相談が舞い込みました。最近は企業としての体制整備は進んでおり少し落ち着いていますが、一方で、海外にも顧客のいるアプリやゲーム、クラウド上で各種サービスを提供するSaaSビジネスを展開する際に、海外の法令に準拠しなければならない要請があり、その種の依頼が増えています」

データを取り扱うビジネスを行っている企業にとって、GDPRやCCPAなどの法令は当然知っていなければならないレベルになってきている。さらに新たなリスクも生まれているという。

「中国やロシア、ベトナムなどは、データを自国から出すことを原則として禁ずるデータローカライゼーションという規制を設けています」

例えば中国であれば、特定の企業は、中国国内で収集した食品のトレーサビリティー情報や金融情報などを中国国内で保管しなければならないというルールになっている。その際に留意しなければならないのは、データの保管場所だけでなく、データの閲覧についても制限の対象となることだ。すなわち、データの物理的な持ち出しがなくとも、例えば、日本企業が中国に現地法人を設立した場合、そのデータを本社から閲覧することもできないのである。

「さらに注意すべきは、現在はその対象が通信や金融、水道などといった重要情報インフラ運営者と言われる企業に限定されているのですが、今後は中国国内ネットワークを持っている企業全般が、幅広く対象になる可能性があります。中国に市場を求める企業は、動向をウォッチし続ける必要があるでしょう」

ところで、個人データの漏えいなど、GDPRに違反するようなケースが発生すると、どのようなリスクがあるのだろうか。

「GDPRは制裁金が高額です。違反した場合、2,000万ユーロ（約26億円）または、全世界での総売り上げの4％が、制裁金として科される場合もあります」

例えば、売上高1兆円のグローバル企業の場合、最大で約400億円の制裁金を科されることになる。経営に大きなインパクトを与えることになるのは言うまでもない。実際に、ある海外大手企業が顧客情報を流出させた際には、約250億円の制裁金が提示されたこともある（その後、最終的には大幅に減額された）。他にも巨額の制裁金を命じられた企業は少なくない。

「情報漏えい事故だけでなく、ユーザーに対する情報提供が不十分であり透明性が認められないとして、数十億円の制裁金が科されたケースもあります」

日本の企業経営者やマネジメント層にとっては、そのようなリスクが増大していることを意識すべきだろう。

2022年4月から改正個人情報保護法が施行

日本の個人情報保護法についても、新しい動きがある。2021年6月に、改正個人情報保護法が公布され、2022年の4月から施行される。

「改正個人情報保護法では、ネットの閲覧履歴が分かる『Cookie』と呼ばれる情報の取得について、個人データと紐づけて利用することが想定される場合に、事前にユーザーの同意を得ておくことを義務付けているのが大きな特徴です。この他、個人データを漏えいしてしまった場合の個人情報保護委員会への報告も義務化されます」

企業にとって対策が必須になるが、欧米の企業に比べ、日本企業は個人情報保護に関する意識が低いという印象を受ける。実際のところはどうなのだろうか。

「日本企業も、法令への対応がまったくできていないわけではありません。プライバシーマーク（Pマーク）や、情報セキュリティー・マネジメント・システム（ISMS）などの認証を取得しているところもあります。ただ、これらの認証を取得した後、それがお飾りになってしまっていて実体が伴っていない企業も少なくありません。例えば、自社でどんな個人データをどのように収集し管理しているのかを、担当者が理解していないというケースです。データ利活用のための体制整備プロジェクトをよく受託していますが、プロジェクトが始まってみると、個々のデータの所管が人事部だったり、マーケティング部だったり、営業部だったりして、誰も全体を把握していないということがよくあります」

今回の改正個人情報保護法では、自社がどのようなデータをどう取り扱っているのか、現状を把握しないと改正されたポイントに対応できない。
「改正に対症療法的に対応するのではなく、これをきっかけに個人情報保護に対するリスクをアセスメント（評価）できるような組織づくりに取り組むことが大切です」と寺門氏はアドバイスする。

改正個人情報保護法のポイントとリスク

改正個人情報保護法に抵触しないために、DX推進リーダーや現場は、どのような視点を持つべきか。

「今回の改正ポイントは、『Cookie』の利用制限など、デジタルマーケティングにかなり関係が深いところです」

寺門氏がこう述べるように、「Cookie」はすでに多くの企業で、マーケティング活動などに利用されている。広告代理店やDMP事業者などに依頼すれば、自社のサイトを訪問しているユーザーが他社のどのサイトを閲覧しているかといったデータを得ることもできる。

「あらゆる全ての『Cookie』の取扱いが今回の規制の対象になるわけではありません。ただし、類型がやや複雑で、調べてみないことには、自分たちが今回の改正法の規制対象になる行為をしているのかどうか分からないので注意が必要です。その点に意識を払わずこれまで通りの運用を続けるということは、その企業が違法行為をしてかまわないと思っていると判断されても仕方がありません」

改正個人情報保護法に違反すると、GDPRなどと同様に、当事者には罰金が科される。ただしその上限は法人の場合、1億円で、GDPRの制裁金などに比べると金額は小さい。

「確かに金額はさほど大きくありません。さらに、日本では違反した場合も勧告や指導にとどまり、罰金まで科される例はほとんどありません。ただし日本ではレピュテーション（評判）リスクが大きいのが特徴です。マスメディアで報道されると、ユーザーに対するネガティブな印象が一気に高まり、大きなダメージを被ります」

近年も、大手企業に対して個人情報保護委員会が勧告や指導を行った結果として、マスメディアで大きく報道されるケースが複数発生しているが、これによるビジネスへのインパクトは大きいものと推察される。

「顧客が離れるだけではなく、日本ではひとたび事件・事故が起きると、そのままサービスを提供し続けることが極めて難しいという特徴があります。再発防止策を講じるために、半年から1年以上の時間を費やした企業も少なくありません。例えばECサイトでビジネスを行っている場合などは、その間のビジネスが停止し、売り上げが立たないことになります」

そのため、企業によっては、事業を他社に売却したり、事業そのものを廃止したりするところもある。寺門氏が指摘するように、被害は罰金額以上と言える。