こんにちは、BICP DATA渡邉です。
2022年4月1日の改正個人情報保護法施行まであとひと月となりました。
「みなさん、どうしてるの?」
「今、何をすればいいの?」
「一応進めてるけど、あっている?」
と思われている方も多そうなので(実際よく聞かれる)、今日のブログネタにしたいと思います。
対応ポイントと優先順位
まずは改正法の概要です。
はい、みなさん一度は(一度どころではないと思いますが)目にされたことがある、改正法の概要ペラいちです。
この中で多くの事業者さんにとって関係のある項目は、以下のA~Dですね。
A:個人の権利の在り方
B:事業者の守るべき責務の在り方
C:データ利活用の在り方D:法の域外適用・越境移転の在り方
優先順位は
B>A>C=D
だと思います。
理由は「生活者を守る直接的なアクションがより優先度が高い」からです。当然ですよね。
具体的なアクションとは
では、それぞれ具体的に何をすればいいのか?
シンプルに書きます。これだけやればいい、という訳ではなくて、やるべきことの中で優先順位の高いものを書いていますので、その点はご留意くださいね。
B:情報漏洩時の動き方について、連絡体制も含めて再度見直しを行う
A:社内の各種規定や、業務フローの見直しを行う
C:デジタル施策に利用するデータや業務フローを整理する
D:クラウドサービス利用時にその事業者のサーバ設置場所やデータ取扱状況を確認する
ということになります。
補足で説明をさせていただきますね。
B:情報漏洩時の動き方について、連絡体制も含めて再度見直しを行う
情報漏洩等が発生した場合、個人情報保護委員会や本人への通知が義務化されます。
情報漏洩はしないに越したことはないですが、「絶対」はあり得ません。インシデント発生時を想定した連絡体制を整えておくことで、いざというときにお客様の不安を最小限に抑えられます。
ちなみに、きちんと準備ができていない例を弊社社員が怒りとともにブログにしたためてますのでよろしければご覧ください。
【悲報】私の個人情報が流出してしまった件
https://bicpdata.jp/blogs/20210527_553/
A:社内の各種規定や、業務フローの見直しを行う
プライバシーポリシーの改訂が必要な事業者さんが非常に多くなっています。安全管理措置に関する記述の追記ももちろんですが、個人情報の利用目的の明確化も重要なポイントです。ガイドラインの中で、具体例をもって「コレはダメよ」と記載されているのですが、【マーケティング活動に利用するため】は具体性が足りずNGな例に入っています。
C:デジタル施策に利用するデータや業務フローを整理する
個人関連情報(主にcookie)も第三者提供先で個人を特定できる場合は、事前同意が必要とされています。そもそもcookieを初めとした個人関連情報は、部門毎に自由に取得をしているという事業者さんも多く、まずは自社の外部サービス利用状況を把握するところから始まります。
「あああ!収拾がつかない!」と頭を抱えるご担当者さんも多いので、安心してください(?)
これを機に、外部サービス利用時の申請承認ルールを作ったり、外部サービスの選定基準なども設定してしまうのがおススメです。
D:クラウドサービス利用時にその事業者のサーバ設置場所やデータ取扱状況を確認する
「うちの会社は海外でビジネスをしているわけじゃないから、関係ないよね?」
ということではないんです。しっかりとそのクラウド事業者のサーバ設置場所や、誰がデータを触る可能性があるのか?といったあたりを確認して、必要に応じて本人への情報提供をしていくことが求められます。
以上、3分で分かる改正個人情報保護法対応でした。
シンプルに書き連ねただけでも、法務・マーケ・情シスなど複数部門の連携が必要になることが分かってしまいましたね!
難易度が上がるところではありますが、社内一丸となって顧客のことを考えるとっても良い機会になっているのではないかと思います。
改正個人情報保護法への対応は、プライバシー対応の第一歩。
頑張って進めていきましょう!
BICP DATAでは、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱いについてのご相談をお受けしております。
まずはお気軽にご相談くださいね! ご連絡お待ちしております。