はじめに
ISO27701がマネジメントシステムの対象としている「プライバシー保護」については、それぞれの国や地域によって、規制のされ方が異なってきます。
ISO27701では、PIMS(プライバシー情報を保護するためのマネジメントシステム)を構築する際、「組織及びその状況の理解」の要求事項のフェーズで、自らの組織にどのようなプライバシー法が適用されるのか、どのような規制が適用されるのかといったことを決定しなければならないとしています。
つまり、組織自身に適用されるプライバシー法などを決定し、その法規制に対して対応していく仕組みをPIMSで構築していくことになります。
実際、ISO27701では、「法域によっては~」という言葉が様々な箇所で出てきます。例えばドイツで適用されるGDPR(「GDPR」については下記でご説明します)の規制が日本の個人情報保護法では異なった規制内容になっていたりします。
組織が扱っている個人情報についてどの法令が適用されるのかを特定していくことで、それぞれの観点での個人情報保護に関するルールを構築する際の最低基準を知ることができます。
そこで、今回はいくつかの国や地域のプライバシー保護に関する法令などをみていきたいと思います。
日本の場合(個人情報保護法)
おそらくこの記事を読んでいる事業者の方は日本で事業をされている方が多いかと思います。
日本で個人情報を取り扱う事業者に対しては個人情報保護法が適用されます。より具体的にいうと、個人情報保護法が適用されるのは、国の機関や地方公共団体などの公的な組織を除いた、「個人情報データベース等を事業の用に供している者」などです。
以前は、対象となる事業者が「個人情報取扱の件数が5000人以下の場合」には適用されないといった内容でしたが、2017年に改正され、扱う個人情報の件数に関わりなく適用されることになりました。
また、これまでは「個人情報(保有個人データ)の保管期間が6か月以内のもの」については規制の対象外でしたが、この保有期間要件も2020年の個人情報保護法改正により撤廃され、今後(施行後)は、保有期間に関わらず個人情報保護法の規制がかかることになりました。
個人情報保護法でいう「個人情報」は、「生存する個人」に関する情報であり、
- その情報に含まれる記述等によって特定の個人を識別できるもの(他の情報と容易に照合が可能で、それによって特定の個人を識別できる場合も含まれます)
- 個人識別符号(免許証番号など一定の番号や記号などの符号)が含まれるもの
が該当します。
個人情報保護法では、事業者が「個人情報」(匿名加工情報など「個人情報」に該当しない情報についての規定もあります)を取り扱う際の規制が規定されています。
EUの場合(GDPR)
ヨーロッパにおいては、GDPRというEEA(欧州経済地域=EU加盟国とアイスランド、ノルウェー、リヒテンシュタイン)に所在する個人の「個人データ」の保護を対象とするプライバシー規制が存在します。
GDPRは、その制裁金の大きさでインパクトを与えました。GDPRの制裁金は、最大で2000万ユーロ(約23億円)、または全世界における年間売上高の4%の額が課される内容となっており、GDPRが適用される企業にとっては対応に大きな負担となっているかと思います。
GDPRの規制内容としては、主に以下のようなものがあります。
漏えい時の72時間ルール
個人データの漏えいなどの「個人データ侵害」が発生した場合、原則として「その侵害に気づいた時」から72時間以内に所轄の監督機関にデータ侵害の報告をしなければなりません。
データ主体の同意とその撤回
GDPRでは、個人データの取扱いに関して事業者がデータ主体(本人)の同意を得ることを必要としています。そして、この同意については「いつでも撤回する権利」があると規定されています。
事業者が本人から同意を取得する際には、本人が同意の撤回権を有し、いつでも同意を撤回できることについて情報提供をする必要があります。この同意の撤回については日本の個人情報保護法にはない概念ですので注意が必要です。
アメリカカリフォルニア州の場合(CCPA)
アメリカではアメリカ全土にわたる統一したプライバシー保護法はありません。
アメリカの中でもカリフォルニア州では、2020年1月にカリフォルニア州消費者プライバシー法(CCPA)が施行開始されました。
このCCPAは、カリフォルニア州民のプライバシー情報を保護するためのもので、同州住民の個人情報の収集を行っているか、同州内において事業を行っている事業者のうち、年間の総収入が2500万ドルを超える・年間5万件以上の住民の個人情報を収集等しているといった要件に当てはまる事業者が規制の対象となります。
CCPAの場合、特定の個人のみならず、(カリフォルニア州内の)特定の「世帯」を識別できる情報についても規制の対象となる点が注意点としてあります。
おわりに
いかがでしたでしょうか。
各国にはそれぞれプライバシー保護に関して適用される法令がありますし、その規制内容ももちろん様々です。そして、これらの法令は海外に事業所を構えていなくとも、インターネットを通じてサービス提供している場合なども規制の対象となってくることがあります。
自社の事業活動で適用される法令がどこの国・地域のものなのか、定期的に確認し、適用される法令の中身を追っていくことが、企業におけるこれからのプライバシー戦略で大切になってきます。
ISO27701には、そのような場合に検討するべきリスク低減の例などが記載されていますので、認証取得とは別にして考えても、プライバシー情報マネジメントシステムの構築に役立てることができます。