第6回：個人情報規制、世界で強化

こうした背景の中、様々な国・地域で消費者保護を目的とした規制が導入、強化されている。日本では6月に改正個人情報保護法が公布された。この改正では、特定の個人を識別できないようにした「仮名加工情報」などの利活用に関する施策も盛り込みながら、個人データの利用停止を企業に求めることができる本人の権利に関する規定などが大きく拡充された。

米カリフォルニア州では今年施行したばかりの「州消費者プライバシー法（CCPA）」を強化した新法「州プライバシー権利法（CPRA）」が11月に住民投票で可決。パスポート番号や正確な位置情報などをセンシティブデータとして厳しい利用制限を求めている。インドでも個人情報保護法案（PDPB）が近い将来、成立する見込みだ。

国連貿易開発会議（UNCTAD）によれば、世界の国々の66％でデータ保護・プライバシー分野の規制があるとされる。こうした海外の規制には、日本企業に直接影響を及ぼす域外適用があるものやデータの越境移転の制約を設けるものがあり、注意が必要だ。

国や地域のルールが異なる中、データの越境移転について国際的に共通の規範を模索する取り組みも進んでいる。2020年11月に15カ国が署名した地域的な包括的経済連携（RCEP）では、電子情報の越境を妨げない「データフリーフロー」の義務などが盛り込まれた。また、アジア太平洋経済協力会議（APEC）では越境プライバシールール（CBPR）による、域内での越境データ移転を促す枠組みも提供している。

ただ、データの越境移転以外の点での国際的な共通化は進んでおらず、企業がある国・地域の消費者の個人データを取り扱うときには、その国・地域のルールを十分に理解し対応する必要がある。特に複数の国や地域で事業をする企業はグループとして対応しなければならない場合も考えられる。

関連の規制を分析しながら、企業グループ内で各国共通の指針を策定するなど、国際的な目線でプライバシーのガバナンス（統治）を整えることが求められる。

本稿は2020年12月18日に日経産業新聞に掲載された「戦略フォーサイト：DX時代のサイバー対策（7）個人情報規制、世界で強化」を一部改訂したものです。

【シリーズ】DX時代のサイバー対策

>>第1回：サイバー対策は商品力や企業力に直結
>>第2回：外部環境の変化を読み解く
>>第3回：社内守るだけでは守れず
>>第4回：各国政府、厳しい調達基準
>>第5回：安全対策、義務化の製品も

> D-nnovation Perspectives その他の記事はこちら