2022年に個人情報保護法が2年延期されて、ついに施行した。本法令に遵守するために組織の変革を早急に推し進めることは難しいことではない。今回は、証券及び証券取引所監視委員会事務局(SEC)のデータ保護責任者(Data Protection Officer : DPO)兼デジタルトランスフォーメーション(Digital Transformation)関連顧問でDPO会長のミスター・カムポン・ソーンタナラット(以下、カムポン氏)に、原則、指針、そして実施手順をお伺いした。
*本記事は「日本のITソリューションをタイのビジネスマンに紹介するメディアICHIで掲載された記事を翻訳して転載しております
証券及び証券取引所監視委員会事務局(SEC)ミスター・カムポン・ソーンタナラット氏
個人情報保護法を遵守するための重要な原則
組織が態勢を整え、個人情報保護法を遵守するための重要な原則とは、デジタル経済社会省の助言を参考にすることである。これは主に2つの側面で構成されるもので、1. 法規定 2. ベストプラクティス(Best Practices)となっているが、組織の経営者が認知及び実施しなければならないことである。この2つの側面には、重要事項が全11項ある(図1を参照)。
表1:組織を個人情報保護法への遵守に導く11原則
| 法規定 | 具体的な手法 |
| 1:データ保護責任者(Data Protection Officer)の任命 | 1:組織にPDPA業務班(PDPA Working Team)を設立。 |
| 2:プライバシーノーティス(Privacy Notice)の作成 | 2:組織内部のデータを調査し、データインベントリ(Data Inventory)を作成。 |
| 3 処理項目記録(Record of Processing Activities: ROPA)の作成 | 3:方針及び実務指針(Privacy Policy and Codes of Practice)を作成。 |
| 4:個人情報の使用が必要な場合の同意書(Consent Form)の作成 | 4:組織間で情報交換又はシェアを行う場合は個人情報交換協定(Data Sharing Agreement)を作成。 |
| 5:情報処理者に委託を行う場合の処理協定(Data Processing Agreement)の作成 | 5:個人情報保護への遵守への意識構築及び研修(Capacity Building and Awareness Raising)。 |
| 6:定期的な監視・管理及び監査(Audit and Compliance)。 |
組織をコンプライアンスへ導く11原則
カムポン氏は各項目の要旨も説明している。
「DPO( Data Protection Officer )の任命」という法規定だが、組織内部の従業員を任命しても外部の人材に委託してもよい。DPOは組織が法に基づく完全な個人情報保護を実現できるよう管理する役割を担うが、他に、個人情報保護委員会事務局(PDPC)や個人情報のデータ主体(Data Subject)との連絡・連携の任務も担わなければならない。次に「プライバシーノーティス(Privacy Notice)の作成」については、個人情報の保管を行う各サービスにおける、情報の使用、及び、他の組織への転送の目的を明確化しなければならない。
「処理項目記録(ROPA)の作成」は、組織の諸活動におけるデータ使用及びデータ処理の記録を作成し、組織が個人情報の処理データを完全に保有できるようにすることである。「同意書又はフォーム(Consent Form)の作成」は業種毎に異なるが、法に基づき当該業種と整合するよう、組織は認諾を求めなければならない。最後の「処理協定(Data Processing Agreement)の作成」については、組織が顧客の個人情報を第三者に転送したりシェアしたりしてデータ処理を行う場合である。たとえば、処理者に委託する場合、取引先に送付する場合など。
具体的な手法の6項目(表1右側を参照)について、カムポン氏の見解は次の通りである。
「まずは、PDPA業務班を設立することから始めてください。これはIT部門、事業部、そして法務部の三者間で設立するのが良いでしょう。業務班を中心に、全ての法律の理解や自社の個人情報保護に対する取り組みを理解することができます。データの調査及びデータインベントリの作成については、非常に重要ですので、抜け漏れがないように取り組む必要があります。データインベントリは、他の部分にも影響するものだからです。」(カムポン氏)
これについて、組織はまず方針を明確化しなければならない。実務指針は、組織の全従業員が理解できるようなマニュアルとして作成するべきである。また、法と整合する方向性を持った実務指針としなければならない。さらに、個人情報の転送をする場合は、協定を作成の上、データ主体の各人に通知した目的通りに使用しなければならない。
もう一つ重要なことは、従業員や、データ主体(Data Subject)である顧客への研修による意識構築である。また、常に監視・管理及び検査を行い、実務指針が法の規定に基づき完全に実行されるようにしなければならない。
「組織でこれらがまだ完了していないようでしたら、法の施行までに早急に行っておかなければならない重要なことは、法規定の5項目のチェックリスト作成です。つまり、DPOの任命、Privacy Noticeの作成、ROPAの作成、Consent Formの作成、そしてData Processing Agreementの作成です。この5項目はそれぞれ順に、第41条、第23条、第39条、第19条、そして第41条の規定となります。」(カムポン氏)
カムポン氏は次のことも強調している。「データ管理とは個人情報を保有する全ての部門についてのデータ保管、入手元の明確化、データ使用の全段階を完全に行うことですが、その成功の要は、データインベントリの作成です。これは各活動におけるROPA作成やデータ処理記録のための重要な土台となります。ROPAはログ(Log)の保存と関連があるものです。また、データフロー(Data Flow)の作成にも繋がってきます」(カムポン氏)
実践の7段階〜Know・Doが成功への道
実践の7段階〜Know・Doが成功への道
1. データフロー(Data Flow)の作成
2. 人材の任務及び適用する法的根拠の決定
3. 法定の重要文書の作成
4. データライフサイクル管理
5. 対応するITシステムの改善
6. データ保護責任者(DPO)の任命
7. 意識の構築
カムポン氏によると、実践では、まず成功の要となるデータ管理から着手するそうだ。
段階1はデータフロー(Data Flow)の作成、段階2は人材の任務及び適用する法的根拠の決定となるが、各活動におけるデータ使用の詳細を明確に分布させなければならない。ここでは、各活動の情報管理者及び情報処理者も明確に示さなければならない。
段階3は、法定の重要文書、すなわち、Privacy Policy、Privacy Notice、ならびに同意書(Consent Form)等の作成となる。これは紙の文書(Hard Copy)及び電子文書(Soft Copy)の両形態で作成する。たとえばウェブサイト上のCookie保存の通知などである。
段階4はデータライフサイクル管理(Data Life Cycle Management)だが、これは段階1とリンクするもので、新しくデータが入ってきた時、必ず入手元を把握し、データ保管・使用責任者を明確化するものである。また、データの使用期限に達したら、システムからデータを削除しなければならない。
段階5は、対応するITシステムを各サービスのデータ保存における諸事項及び手順、データアクセス権と整合するよう改善することである。尚、カムポン氏によると「ITシステムを改善する場合、デジタルトランスフォーメーションについても頭に入れておかなければなりません」とのことである。
段階6はデータ保護責任者(DPO)の任命だが、組織内部の従業員でも組織外の人を採用してもよい。段階7は意識の構築であり、経営者、組織内の従業員、データ処理請負業者、ならびに顧客への知識提供・意識構築のための研修を行う。
法の罰則規定における重要な点
個人情報保護法では、違反は「民事責任」「行政処分」及び「刑事処分」の3部に分類されている。
民事責任(第77〜78条): 実際の被害から補償金が計算される。裁判所は追加処罰を命じることもできるが、実際の補償金の2倍までとする。
行政処分(第82〜87条): 組織が適正に認諾を求めていなかった場合、データ主体に詳細を通知していなかった場合、権利を有するデータ主体がデータにアクセスできなかった場合、記録(ROPA)を作成していなかった場合、データ保護責任者(DPO)を任命していなかった場合、DPOの任務遂行を支援しなかった場合、100万バーツ以下の罰金が科される。
罰金は300万バーツまで追加できる。法的根拠のない個人情報の収集、使用、又は開示を行った場合、使用目的を再通知しなかった場合、必要以上のデータ収集をした場合、認諾を求める際に偽って誤解を招いた場合、適切なセキュリティー維持を行わなかった場合、データの侵害があった時に事態を通知しなかった場合、国内に代理事務所を置くことなく不法に外国へのデータ移転をした場合、また、センシティブ(機微)な個人情報の不法な収集、使用、開示、又は移転を行った場合、罰金は500万バーツまで追加できる。
刑事処分(第79〜81条): 情報管理者が個人情報のデータ主体の認諾を受けることなく、又は、通知した目的とは異なる目的でセンシティブデータの使用又は開示をした場合、又は、不法にセンシティブデータを外国に移転した場合で、他者に損害をもたらしたり、名声を損ったり、他者が冒涜、嫌悪、又は陵辱されたりした場合、6か月以下の禁錮又は50万バーツ以下の罰金が科される。また、自ら又は他者の合法とはみなされない利益追求のために使用した場合、1年以下の禁錮又は100万バーツ以下の罰金が科される。
以上は、組織の経営者や情報管理者の懸念を少しでもやわらげるため、役に立つと思われる情報である。実行計画を全て法規定とするチェックリストにし、実務指針やベストプラクティス(Best Practices)、実行手順を作成することができれば、組織を法の枠組みの中に置くことはきっと難しくないだろう。
東南アジアのBtoBマーケティング最前線
