セキュリティの取り組み不備でペナルティが課される
GDPR施行時には特に多くみられたが、依然として制裁理由に対して誤解がある。「個人情報の漏洩」に対して制裁が課せられると考えられていることが多いが、実際には「個人情報の取り扱い方」に対しての措置だ。最も多い制裁理由は個人情報を取得、処理する法的な根拠がないと判断されたケースなのだ。つまり、必要がないのに漠然とした理由で個人情報を取得しておこうという考えは通用しない。
制裁理由の中でも特に注目すべきは「セキュリティの不備」だ。これは、これまでの制裁理由の中でも3番目に多いもので、サイバー攻撃や内部犯行などのリスクから取り扱う個人情報を保護するための組織的な取り組みや技術的な対策に問題や不備がなかったかが問われることになる。
セキュリティの取り組みに不備があることでペナルティが課せられるなど特に国内では考えられなかったかもしれないが、個人の属性や行動履歴に関する情報がビジネス上価値の高いものとして扱われる今、それは現実のものとなっている。
データプライバシー法規制以外にも、セキュリティに関連した取り組みが政策レベルでも行われている。米国国防総省がサプライチェーンに求めているものと同等レベルのセキュリティを日本の防衛装備庁がサプライチェーンに求める新たな調達基準が2023年度から国内でも運用が始まる。重要インフラ分野においても、個人情報の漏洩などによって第三者に損害が発生した場合には経営陣や監査役に対して損害賠償請求が行われることが、今年発表された政府のサイバーセキュリティに関する行動計画に明記された。いずれにおいても、被害を防ぐための対策がどれだけ行われていたかがポイントになる。つまり、セキュリティの観点でどれだけ説明責任を果たせるかが重要になってくるが、そのような対策ができていると合理的に断言できる企業は果たしてどれだけいるだろうか。
必要な「当たり前の視点」を再確認すること
通信教育事業者ベネッセから子どもの個人情報が漏洩した2014年の事件では「子どもの将来をどうしてくれるんだ」という怒りの声を上げた保護者は少なくなかったのではないだろうか。この感情こそが、個人情報を利用する企業の経営者や担当者が自分ごととして置き換えて考えなければならない視点になる。つまり、個人情報に対する権利は、取得し利用する企業の側ではなく主体である本人のものだ。
このごく当たり前の視点を再認識する必要がある。その権利を侵害することがないよう、説明責任が果たせる個人情報の取り扱い、そしてセキュリティの取り組みを推進することこそが健全なデータ活用を実現する。「当社ではこのような目的でこの情報を取得している」「事故を防ぐために当社はこれだけの対策を実施している」という説明が合理的にできなければ、日本企業であれ必ず制裁対象になる。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
