ガートナージャパン(以下、ガートナー)は2021年9月15日、2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべき5つのアクションを発表した。
ガートナーは「データ活用におけるセキュリティとプライバシーの取り組みを進める上で重要なのは、セキュリティとプライバシーの本質を理解することだ」と述べている。
プライバシーは、基本的な人権を保証する必要不可欠なもので、プライバシーの軽視は人権の軽視につながり、企業は対応を誤れば信頼を大きく失うことになる。そのため、法規制の動向を理解するだけではなく、そうした本質に立ち返り、「People Centric(人中心)」の視点から、より誠実で透明性のある取り組みを推進する必要があると説明する。
今回の発表に先立ち、ガートナーは2020年6月に、個人情報保護法の改正を機に企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ(体制の構築やセキュリティポリシー)について発表している。
今回は、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ/リスクマネジメントのリーダーが取り組むべきポイントを示した。
最初に取り組むべきは「体制の構築」だ。プライバシーやセキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能にする体制を整える。
その上で「内外のポリシーを“People Centricな視点”からアップデート」し、「アウェアネストレーニングを実施」して、「プロセス上の対応」を見直す。ここでの見直しには、データ主体の権利のリクエスト(SRR)対応、プライバシーインパクトアセスメント(PIA)、漏えい時の対応なども含まれる。
さらに「システム/技術的な対応」についても検討する必要がある。改正個人情報保護法では、「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏えい時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があると指摘している。
ガートナーは「プライバシーの議論は今後10年では収束せず、発展途上の状態が続く」と予測する。既存のテクノロジーに加え、プライバシーを強化する新しいテクノロジー(プライバシー強化コンピュテーション)なども出現していることから、企業はそうしたテクノロジーのトレンドにも目を向けつつ、“People Centricな取り組み”を強化し、成熟度を高め、規制コンプライアンスの先を行く必要があると説明している。