個人情報がまた盛り上がってきている。日本では、改正個人情報保護法が2022年4月に施行を予定している。個人情報がどのように扱われているかを問い合わせる権利が個人に認められたり、事業者の責務が全般的に規制されることとなる。
ヨーロッパでは、GDPRの標準契約条項(SCC)が改定され、2021年6月27日から施行された。企業は、欧州経済領域から個人情報を域外国へ移転する場合は、この新たなSCCをもって実施しなければならないこととなる。2022年末までに現行契約を新たなものに置き換えなければならない。
今回は、グローバル企業において、個人情報保護対応を行うにあたり、本社と子会社それぞれどのような対応をしていかなければならないのか見ていきたい。
本社としての役割
各国の法制を調べる
グローバルに事業を展開する会社においては、日本や欧州、米国だけ見ていればよいというわけではなく、中国、ロシア、そしてアジア各国についても把握していくことが必要だ。何も全部の国について知る必要はない。国際的な潮流をつかんでおくことが重要だ。例えば、GDPRが一番厳格である一方で、中国は少し特殊な規制をしいている。アジアは、GDPRを少し変更した法制、といった感じだ。
プライバシーポリシーの策定
子会社を多く抱える企業にとって効率的かつ管理がしやすいようにポリシーを策定するには、ひな形を作ることである。しかしながら、全世界で統一したポリシーを作ることは、必ずしも各国の法制度にマッチしない。そこで、ある程度、地域を分けてポリシーを分けることが考えられる。
例えば、欧州はGDPRをベースに作る。アジアは、中国を除いて一体にしてしまう。中国やロシアは、独特な規制があるので、それぞれ分けて作る。アメリカも独自的なところがあるので、それだけ単独にする。こう言った具合だ。
より効率性を求めるのであれば、一つのひな形を作ったうえで、各国ごとに調整してもよい条項をポリシーに設けることも考えられる。個人情報の漏洩が起きたときの対応などは、各国、各社によって異なるだろうから、各子会社に任せるということだ。一方、修正できない部分も示しておく。各社修正できる部分と修正できない部分を作ることで、一定の品質を担保できるということだ。
データ移転契約の要否を決定する
冒頭に出たデータ移転契約。通称SCC。GDPRは、欧州域外に個人情報を出す際に、データ移転契約を結ぶことを要求している。ただし、十分性認定を受けている日本のような国に移転する場合は、これを要しない。
子会社がどの国に属していて、どの国がデータ移転契約を要するのか。そこから始めよう。そして、国がわかったら、データ移転契約をドラフトする。あとは、会社間で契約書を締結する。本社だけではなせるわけではなく、子会社の助けも必要になるだろう。
子会社においてプライバシー責任者を選任する
ポリシーにしても、データ移転契約にしても、各子会社との密な連携が必要になる。その時に重要な役割を担うのが、プライバシー責任者である。この人は、Data Protection Officerといわれることが多い。できれば、人事やIT部門ではない独立した部門から選出することが望ましい。例えば、法務部門や監査部門といったところだ。
プライバシー責任者を選任したら、あとは任せっきりにするのではなく、教育が必要だ。まとめての契約でもよいし、個別にやってもよいだろう。自社で教育することが難しければ、外部の弁護士にお願いすることも考える。
情報漏洩時の対応方針・詳細を策定する
近年、シンガポールや日本で個人情報保護法の改正が行われたところ、いずれも情報漏洩時の通知義務が明記された。これは、いわゆる72時間ルールと言って、重大な情報漏洩を認識した時から72時間以内に監督機関と影響を受ける個人に通知しなければいけない義務である。
いざ事が起こってから、どうするかを考えていたのであれば、72時間以内に通知などできない。前もって、誰が誰にどのような報告をする必要があるのか。子会社だけでなく、親会社にも報告がいくように報告ルートをあらかじめ決めておく必要がある。また、子会社のプライバシー責任者が子会社で指揮をとるように教育もしていかなければならない。
情報漏洩が特に問題になるのは、個人情報を多く扱う会社だ。銀行、携帯通信会社、ゲーム会社などが考えられる。個人を相手にした商売を行う会社は今一度この漏洩時の報告ルールについて考えておきたい。今すぐアクションだ!
