「取得」「保有」「活用」フェーズごとの注意点

――データは大きく取得、保有、活用のフェーズがありますが、それぞれのフェーズでこれから気を付けるべきポイントを法律の観点からご教示いただけますでしょうか。

　まず取得の際には、「利用目的」を特定・通知しなければならないというのが大前提です。取得したデータは自由に使っていいというわけではありませんので、あらかじめプライバシーポリシーに利用目的をきちんと特定し、その範囲内で利用する必要があります。自分たちがどういった目的でどんなデータが必要なのかをしっかり整理しておかないと、いざ利用したいと考えても利用範囲外になってしまうケースも出てきますので、新しくビジネスを始める際やプライバシーポリシーを見直す際には、そのあたりをしっかり整理しておく必要があるでしょう。

　また特定・通知に関しては、どんなビジネスに使われるのかをわかりやすくする記載する必要があります。どこまで細かく説明すべきかというのはまだ明文化されていませんが、基本的には「“マーケティングに使います”などの抽象的なものではだめだよね」というのが今の流れですので、ユーザーに対しどのように説明していくべきなのかは、今後各企業が検討しなければならないところになるでしょう。

　保有のフェーズでは、「適切に管理する」というのが大前提です。まずは漏洩などが起きないようしっかりと管理する仕組みを整え、それでも漏洩が起きてしまった場合には、先にも述べた通り、個人情報保護委員会と本人に対し報告する義務があります。また本人から削除や利用停止の要求がきた際には対処する必要がありますので、そのあたりのフローを整えておく必要もあるでしょう。

　最後に、活用のフェーズにおいては、取得のところとも重なりますが「利用目的の範囲内で使うこと」が大前提です。また「不要なデータは消去するに務める」というルールもありますので、必要ではないデータはいつまでも保有せず、整理していく必要もあります。手間やコストはかかりますが、企業の姿勢としてしっかり対応することが今後求められてくる部分となります。

「個人情報の取り扱い」は企業の評価指標にもなる

――最後に、日本における個人情報保護法は3年ごとに見直しが行われるということですが、今後のデータ活用に関する予測や、企業として中長期的に意識しておくべきことがあればご教示ください。

　平成27年改正のときには「3年ごと」となっていたのですが、実は今回の改正で「3年をめどに」という言葉に変わりました。つまり3年経っても変わらないかもしれないですし、反対に、もっと早く変わるかもしれません。そのため「今回の改正法には対応したから安心」と思うのではなく、常に情報をキャッチアップしておく必要があるでしょう。

　また諸外国に比べると、日本の個人情報保護法の規制・罰則は重くはないので、おそらく今後の流れとしては規制が強くなっていくことが予測されます。グローバル化を目指す企業であれば当然GDPRへの対応などに既に取り組まれていると思いますが、国内企業においても、日本の法律に遵守するのは最低限で、それを超えて会社としてどこまで対応していくかが企業姿勢として求められるようになるのではないかと思います。

　最近では多くの企業が、企業姿勢としてSDGsに関する活動を対外発表していますが、今後、個人情報の取り扱い方に関しても「コンシューマーへの企業姿勢」として、評価される時代となっていくでしょう。BtoCビジネスの場合コンシューマーを気にするのは当たり前ですが、BtoBビジネスにおいても、Bの先にコンシューマーがいる限り、自分たちのサービスがコンシューマーに向けて対応していますという形でないと、今後選ばれなくなることも当然あるでしょう。ぜひ改正法の施行を機に、企業としての向き合い方を考えてみてはいかがでしょうか。