IT Topics 2023 Topic 9 プライバシー保護法

UNCTAD（国連貿易開発会議）によると、個人データ・プライバシーを保護する法令は2021年12月時点で、194カ国中137カ国において制定されているとのことです^＊1。

各国の法令は企業などに対し、個人のデータ・プライバシーを保護する義務を課していますが、義務の内容や罰則に関しては各国で異なっています。例えばEUのGDPRは、企業が個人データを処理し、 EU域外に個人データを移転させる際の義務を詳細に規定し、罰則も最大で企業グループ全体の年間世界売上4パーセントという高額を定めています。

GDPRはEU経済圏を背景に、個人データを扱う際の基本ルールとして各国のプライバシー保護法に大きな影響力を有しており、米国カリフォルニア州（CPRA）、ブラジル、タイ、フィリピン、中国、インドネシアなど多くの国でGDPRの条文を参考にしたと思われる法が定められています。日本も個人情報保護法を何度か改正し、 EUから十分なデータ保護水準を有する国として認定を取得しました(ただし、民間部門のみ)。

DPO・CPOは、企業のプライバシー法遵守とITセキュリティ対応の監督を行なう専門の役職です。DPOは企業から独立した立場で監督を行ない、CPOは企業のプライバシー保護法遵守に責任を持ち、推進します。GDPRは一定の場合、企業においてDPOを選任する義務があると定め、義務がなくてもDPOの選任を推奨しています。また、シンガポール、フィリピン、タイ、ブラジル、韓国、ニュージーランドや米国連邦法案(ADPPA)などにおいては、CPOを選任する義務があるとされています。

DPOやCPOには法務・IT両面の対応が必要となり、広範な分野の専門知識も不可欠です。

日本の個人情報保護法においては、 DPOやCPOの選任義務はありません。しかし令和2年の個人情報保護法改正の際、「部署横断的・専門的な立場から各部署・従業員の指導・監督等を行うことは有効である」と、 DPOやCPOの選任を評価しています。また「横断的に対応するための部署の自主的な設置が一定程度進展していること等を考慮すると、その要件や業務等を規定して一律に義務付けることは、こうした自主的な取組を阻害するおそれがある」として、企業がDPOやCPOを自主的に選任することを期待しているようです。

世界各国でビジネスを行なう企業は、各国で異なる個人データ・プライバシー保護法を遵守することが求められ、プライバシー保護に対応できる人材育成が急務となっています。

一般社団法人日本DPO協会は、プライバシー保護人材育成を目的とした資格試験制度を開始しました。 IIJもこの認定教育事業者として「IIJプライバシー研修」を実施しています^＊2。

さらにDPOやCPOについては、IIJコンサルタントを専門家としてアウトソースする「IIJ DPOアウトソーシングサービス」や、企業のDPOやCPを補佐する「IIJ DPO／CPO補佐サービス」も提供しています^＊3。

その他、各国のプライバシー保護法に関する情報として「プライバシー保護規制調査レポート」（現在世界49カ国）を提供しており、四半期に一度、アップデートしています^＊4。

今後もIIJのプライバシー保護規制対応ソリューションをぜひご活用ください。