2021年3月10日
2013年改訂版COSO ‐17の原則と87の着眼点‐

位置情報の追跡が脅かすプライバシー保護  ― 日本企業が検討すべき取り組みとは

執筆者 杉山 一郎

EY Japan Forensic Integrity Services Technology Team Leader

日本におけるデジタルフォレンジックの黎明期から活躍するパイオニアの一人。

2021年3月10日

新型コロナウイルス感染症(COVID-19)によるパンデミックに見舞われるという困難の中でも、プライバシー法の及ぶ領域が引き続き拡大し、規制環境がこれまで以上に複雑化している今、日本企業はどのような取り組みを検討すべきでしょうか。

要点
  • 個人データを管理および保護するためには、企業全体で部門の枠を超えた協力をこれまで以上に強化する必要がある。
  • プライバシーは組織のあらゆる領域でステークホルダーに影響を与えており、これに気付く企業がますます増えているため、人事・業務・情報セキュリティ・広報・IRを含む横断的な連携が必要である。
  • 新型コロナウイルス感染症により、位置情報の追跡が強化されている。

「位置情報の追跡が脅かすプライバシー保護」でMeribeth Banaschikが指摘したように、新型コロナウイルス感染症によるパンデミックに見舞われるという困難の中でも、プライバシー法の及ぶ領域が引き続き拡大し、規制環境が今まで以上に複雑化しています。

今回は、特に日本企業が検討すべき取り組みを解説します。

1. 個人データを管理および保護するためには、企業全体で部門の枠を超えた協力をこれまで以上に強化する必要がある。

個人データとプライバシーの領域が拡大し、個人データの量がますます増加する中、リスクとコンプライアンスの課題はさらに複雑なものとなり、部門の枠を超えた協力が必須となります。プライバシー関連のコンプライアンスに関連するビジネスリスクは、「サイロ化した」法務部門だけの問題ではありません。日本においては、サイロ化した各部門の再構築につながる可能性があります。

日本企業は、複数の部門から代表者を招集する必要があるでしょう。日本企業の構造は欧米企業と多少異なるため、当初はこれに違和感を持たれるかもしれません。法務部門は、リスク評価やリスク軽減のための活動に関与していない場合があります。他部門のステークホルダーは、法務部門より多くの権限を持ち、販売や成長を優先してしまうこともあり得ます。そのため、こうした全般的な取り組みを効果的に進めるには、新しいタイプの部門横断的なチームと経営層による支援が必要となるでしょう。こうした支援がなければ、日本企業はライバル企業に後れを取り、違法行為が明らかになってからの対応に余計なコストを掛けるという悪循環を繰り返すことになってしまいます。 

2. プライバシーは組織のあらゆる領域でステークホルダーに影響を与えており、これに気付く企業がますます増えている。
そのため、人事・業務・情報セキュリティ・広報・IRを含む横断的な連携が必要である。

各部門は、採用候補者の個人情報に加えて、社内の個人情報を扱うことになります。また、従業員が別の地域に異動となり、国境を越えて個人情報を移管する場合、順守すべきデータプライバシー制度も変化します。企業が直面するリスクはこれに止まらないでしょう。

また、社外向けの広報やIR部門は、個人情報を扱い、国境を越えてデータを移動させる可能性が高く、これについても検討が必要となります。法律では、「プライバシーバイデザイン」(設計段階からプライバシーを考慮すること)が導入されたことで、プライバシー関連のコンプライアンスがデータ処理環境に組み込まれ、業務・情報セキュリティ・その他の領域に影響を与えています。部門の枠を超えた新たなチームは、社内の他のステークホルダーを教育し、国内外のプライバシー法のコンプライアンスがもたらす財務リスクについて彼らに理解させる必要があるかもしれません。 

さらに、グローバル経済が国内または地域内のローカライゼーションを促したように、新たなコンプライアンスの課題または新たな重点領域が発生することが考えられます(例えば日本企業は、製造・生産をアジア太平洋地域にさらに移管し、サプライチェーンを多様化する可能性があります)。アジア太平洋地域の多くの国で法律が整備、施行されていることから、データプライバシーに関するこれまでにない新たなコンプライアンス課題が生まれるでしょう。

 

3. 新型コロナウイルス感染症により、位置情報の追跡が強化されている。

新型コロナウイルス感染症のパンデミックにより、個人情報の取り扱いとプライバシー関連のコンプライアンスが人々の関心を集めています。各国の政府は、新型コロナウイルスの接触情報を追跡するためのアプリを導入しました。健康関連のデータを収集することにより、企業も接触情報の追跡と新型コロナウイルス感染症のリスク管理に関与しています。企業は、位置情報と位置情報関連データの収集を強化しており、従業員の入退出記録に加え、新型コロナウイルス感染症関連の自己申告データ、社外活動に関する文書および記録、そして関連する位置情報が収集されている可能性があります。企業は、こうした情報をどのような方法・期間・場所で保管しているか評価する必要があるでしょう。

こうした状況により、個人データの取り扱いが増加し、位置情報の収集が強化されるのに伴い、法務/コンプライアンスリスクも増加しています。日本企業は他国とは違った課題に直面しています。日本企業は新たなチームを設置、または新たな役割を割り当て、プライバシー法のコンプライアンスに重なる部分があることをステークホルダーに教育し(日本の個人情報保護法〔APPI〕、欧州の一般データ保護規則〔GDPR〕、米国のカリフォルニア州消費者プライバシー法〔CCPA〕、またはアジア太平洋地域のその他のデータ保護体制)、「プライバシーバイデザイン」を導入する、または関連するデータ取り扱いを改善するための新たな社内の取り組みを支援する必要があるでしょう。 

こうした取り組みによって全てが解決される訳ではなく、さらなる疑問を呼び起こすかもしれませんが、EYは皆さまがこうした問題を議論し、所属する部門、会社における取り組みを支援することが可能です。

この記事は EY GLobal の記事をもとに、日本独自の視点を加えたものです。

【共同執筆者】

Daryl Osuch/ダリル オーサチ
(EY Japan Forensic & Integrity Services シニアマネージャー)

eDiscovery案件のプロジェクト管理および業務遂行を支援するほか、日本国内の内部調査もサポートする。

※所属・役職は記事公開当時のものです。

サマリー

新型コロナウイルス感染症によるパンデミックという環境下においても、プライバシー法の及ぶ領域が拡大し、規制環境が今まで以上に複雑化しています。個人データの取り扱いが増加し、位置情報の収集が強化されるのに伴い、法務/コンプライアンスリスクも増大しており、日本企業は他国と異なる課題に直面するでしょう。今こそ、新たな社内の取り組みを検討すべき時です。

この記事について

執筆者 杉山 一郎

EY Japan Forensic Integrity Services Technology Team Leader

日本におけるデジタルフォレンジックの黎明期から活躍するパイオニアの一人。