個人の権利を拡大した改正個人情報保護法の運用に向け、体制強化を図る個人情報保護委員会。丹野美絵子委員長は制度の司令塔として、企業には受け身ではなく消費者の信頼を得る能動的な対策を呼びかける。最大の受益者であるべき個人の理解を高めるべく、組織理念の更新や情報発信にも努める。
(聞き手は浅川 直輝=日経コンピュータ編集長、玉置 亮太=日経クロステック/日経コンピュータ、玄 忠雄=日経クロステック/日経コンピュータ)
2022年4月に改正個人情報保護法が施行されました。企業への影響や対策をどう見ていますか。
個人情報保護委員会(個情委)として企業によくお伝えしているポイントは、今回の改正法は事業者が個人データに対峙する姿勢を問い、その結果責任を重視していることです。改正前は、企業がすべき行為や禁止する行為を法令で規定し、何が違反に当たるかなどを明確にすることを優先した傾向が強かった。そこは大きく変わった点です。
オープンな説明が社会の信頼に
例えば改正法は、個人情報が漏洩した場合には委員会に迅速に報告し、漏洩させてしまった個人にも通知することを義務化しました。ここで評価されるのは、事案の発生時に企業が適切に対応できたかどうかです。改正法で個人の権利が拡大した点も同様です。個人が自己情報の利用停止や消去を企業に請求した場合に、企業が適切に対応できるか。越境データ移転の説明責任なども含めて、個別状況に応じて法履行の適否が評価される規定が増えました。
形式的な順守ではなく、適切か否かが問われるということですね。とは言え、企業は罰則に関わる条項に目を向けがちです。
個情委は基本的に処罰をしたいわけではありません。企業の皆さんに、法の趣旨をしっかり把握して個人の権利・利益の保護に貢献してもらいたいと考えています。
委員会としては、「個人情報保護は法令順守のコストだ」と考えるよりも、むしろ個人データの活用方法を法令に則して設計していくなど、企業価値を向上する部分に投資をしたらどうですかと、企業の方々には説明しています。
企業にとっては、個人情報に関して実現したいことを、法の要請を噛み砕きながらビジネスへとデザインしていく必要があります。そのうえで個人情報の活用方法を社会や消費者にどう説明し説得していくかの巧拙が以前にも増して問われています。企業にはぜひオープンに説明する姿勢を取っていただきたいと思います。
