2020年にはブラジル、2021年には中国やシンガポール、2022年にはタイで個人情報保護関連法が施行、改正された。2022年9月に発生した大手通信事業者での事故を受けてオーストラリアでも法改正の議論が活発になり、これまで州法しかなかった米国でも連邦法の整備が議論されている。すべてとはいわないまでも、全体的にはGDPRに倣うかたちで厳格になっている傾向が見られ、工場や営業拠点などを展開する日本企業が数多く存在する国々で温度感が変わっている。
日本国内でも、個人情報保護法の改正法が2022年4月に施行されたが、ここでも、情報漏洩事故発生時の通知義務や制裁金上限の1億円以下への引き上げなどのかたちでより厳格になっている。
現在、個人情報保護委員会から勧告や指導の対象となる案件も複数出てきており、今後国内でも制裁金が課せられる事案が発生する可能性は十分ある。また、世界的なトレンドと整合性を合わせるために、制裁金の上限がさらに引き上げられる可能性も考えられる。
2つ目の理由は「ガバナンスの問題」だ。言語や文化、マネジメントスタイルの違いなどを理由に、海外拠点に対するガバナンスが効かせられないという課題を持つ日本企業は非常に多い。良いか悪いかの議論は別として、大局では本社の方針がすべてという傾向が強い欧米の現地企業本社で長年ビジネスに従事していた身としては、このような課題を持つ日本企業の多さには驚かされた。日本にある本社のセキュリティ指針に「対応している」と現地従業員から聞いていたにも関わらず、事故が発生して蓋を開けてみたら対応できていないことが発覚したという話はグローバルに事業展開する多くの企業から聞く。
ガバナンスの観点におけるもう1つの懸念点がサプライチェーンの対策である。顧客管理や問い合わせ対応といった業務を中心に、業務委託は業務の合理化やコスト削減を目的に国内では広く一般的に活用されている。顧客の個人情報を委託先が必ず取り扱うことになるため、その委託先でのセキュリティの取り組みが委託主のものと同様に重要になる。同じグループ企業に対して対策を徹底させることが難しい中で、資本関係のない業務委託先や取引先に同等レベルの対策を徹底させることは一層難しいのではないだろうか。
そして、最も重要なポイントとなる3つ目の理由は「制裁理由」だ。