改正個人情報保護法への対応状況は? 読者アンケートに見る2022年の重要トピック(2)

法務部

目次

  1. 2021年に取り組んだ課題と2022年に取り組むべき課題の概観
  2. 改正個人情報保護法への対応状況と2022年の課題
    1. 改正対応の進捗は遅れぎみ
    2. 法務担当者が取り組んでいる内容
    3. 海外の法制対応には苦戦している様子
    4. 社内のコントロールに不安

 2022年、各社の法務部門はどのような課題に取り組もうとしているのでしょうか。
 BUSINESS LAWYERSでは2021年11月から12月にかけてアンケートを実施し、法務部門で働く方々のリアルな声を募集しました。 前回の記事に続き、各社の法務部門における現状と2022年の展望について、アンケート結果をもとに紹介します。
 アンケート結果のうち、法的課題については今回と次回の2回にわたって掲載。まずは2022年の課題の概観と改正個人情報保護法への対応について取り上げます。

調査内容:2021年企業法務に関するアンケート
実施時期:2021年11月12日〜12月7日
調査対象:BUSINESS LAWYERSの登録会員ほか(有効回答者数149名)
調査手法:記述/インターネットによるアンケート調査

2021年に取り組んだ課題と2022年に取り組むべき課題の概観

 ここではまず、2021年に力を入れた分野を紹介したうえで、今年の注目トピックを展望します。
 2021年に注力した法的課題として多くあげられたのは、「改正個人情報保護法への対応」「改正民法への対応」「電子署名法を踏まえた契約対応」でした。

2021年の注力した法的課題3つ

 続いて、2022年に各社の法務部門が取り組もうとしている課題について紹介します。ここでもダントツに多かった回答が「個人情報保護法改正」への対応で、今年最も大きな話題となることが予想されます。
 次いで多数の票を集めたのが、「電子帳簿保存法改正」「公益通報者保護法・内部通報制度の改正」「電子署名法を踏まえた契約対応」でした。

2022年に取り組むべき法的課題のうち優先順位の高いもの3つ

改正個人情報保護法への対応状況と2022年の課題

改正対応の進捗は遅れぎみ

 2020(令和2)年・2021(令和3)年に改正された個人情報保護法については、2022年4月の施行が予定されていますが、「対応が順調」との回答は2割にとどまりました。全体として問題意識は高いものの、多くの企業において対応には苦慮している様子がわかります。

2022年に取り組むべき法的課題のうち、優先順位の高いものを3つまで選択してください

 順調に対応が進んでいると回答したのは、人材サービス企業やIT企業、消費者向け製品のメーカーなど。一部には「課題・タスクが膨大すぎて、対応しきれているわけではない〔小売業〕」というコメントもあったものの、個人情報保護が事業に直結する企業においては、早期から計画的に対応を進めてきていることがわかります。

  • 法務部を中心とするプロジェクトチームを早期から組成し、全社のデータ活用状況を洗い出したうえで対応している。パブリックコメントなどの対応を通じて個人情報保護委員会の見解を引き出すことができて、明確な方針のもとで対応できた。〔製造業〕
  • 個人情報保護法改正対応について、グループ全体の対応方針を主導的に取りまとめた。施行に向けて順調に対応を進めている。〔サービス(その他)〕
  • 2022年春のプライバシーポリシー改定・公開に向けて順調に対応している。ユーザーの重要なデータを扱っているため、適正な取扱いに関する社内のリテラシーは法改正前から高かったが、この改正を機に改めて見直しを図っている。〔サービス(インターネット)〕

 一方、8割方の企業では対応遅延や未対応という状況。2022年に入ってからようやく本格的に取り組んでいるという企業も少なくないのではないでしょうか。

  • 2022年4月に向けてプライバシーポリシーの改定作業中。性質の異なるBtoCのビジネスを抱えているため、個別対応が多い。〔サービス(その他)〕
  • プライバシーポリシーや規程等の整備を年明けから本格的に進めなければならない。〔製造業〕

 BtoB企業においては、法改正に対応しないわけにはいかないものの、事業との関連性が薄いことで対応に苦慮しているようです。

  • 漏えい時の対応等に関する社内規定の改定をしたが、当社ではそもそもあまり個人情報を扱わないのでイメージがつきづらかった。〔製造業〕
  • 個人情報は少量しか持っていないにもかかわらずそれなりの体制整備が必要である点が悩み。〔製造業〕
  • BtoB企業であることもあって重要性・緊急性の点で優先順位が低く、社内周知するタイミングなどが難しい。〔製造業〕
  • 社内で「BtoB企業だから対応の必要はない」と認識されてしまっている。〔製造業〕

法務担当者が取り組んでいる内容

 具体的な改正対応としてはどのようなプロセスがあるのでしょうか。進捗は各社さまざまですが、回答のなかであげられていた主な対応事項を概観すると以下のとおりでした。

対応事項の例
  • 法改正のポイント抽出
  • データの利用実態、活用状況の洗い出し
  • リスク評価、法改正対応による要対応事項の把握
  • プライバシーポリシー、利用規約、社内規程、契約書ひな形等の見直し(グループ会社への展開含む)
  • SCC改定方針の検討
  • Cookie対応の検討
  • 本人請求事項の拡大に伴う内部運用整備
  • 流出・漏えい等の事故対応の検討、見直し
  • 社内周知・啓蒙

 このうち最も大きな課題となっているのが「法改正のポイント抽出」。各社のコメントからは、確認すべき改正範囲やガイドライン等の膨大さ、わかりにくさや、自社への当てはめの難しさに対する悲鳴が聞こえてきました。

  • ガイドラインの分量が膨大で苦労した。〔製造業〕
  • 検討すべき点が多いうえに影響範囲が広く、改正対応は未達成。〔情報通信業〕
  • 改正範囲が広く専門性が高いうえに、ガイドライン等の公表を待つ必要があるため、非常に苦労している。〔金融〕

海外の法制対応には苦戦している様子

 日本の個人情報保護法だけでも対応に苦慮するなかで、法務担当者をさらに悩ませているのが、海外の個人情報保護法制への対応です。複雑・難解かつ国・地域ごとに異なる規制内容に、どのように(どこまで)対応すべきかが、大きな課題となっています。
 対応の必要性については各社グラデーションがあると思われますが、回答を見る限り、万全の対応ができていると胸を張れる企業はほとんどないでしょう。個人情報保護委員会が、外国における個人情報の保護に関する制度について 情報提供を行っているものの、具体的な実務対応への落とし込みまではなかなか手が回っていないようです。

  • グローバルで大改正が続いているため対応に取り組まなくてはならないが、どこの部署がどのように対応するかでまずもめて、そこから進まない。〔製造業〕
  • 海外の個人情報保護法制について法律事務所を通じて調査を行っており、費用と時間がかさんでいる。〔情報通信業〕
  • グローバルで改正が続いており、GDPRだけはなんとか形が整っているものの、CPRA(カリフォルニア州プライバシー権法)、さらに中国法などは、情報を集め続けているだけで実践的なことは何もできていない。〔製造業〕
  • 日本の改正個人情報保護法については、ビジネス側への説明会の実施、テンプレート改定など早めに取り組んだが、GDPR関連は海外の専門部署との情報連携に時間がかかった。〔サービス(その他)〕
  • GDPRに関して海外拠点の対応の足並みをそろえるのに労力がかかっている。〔サービス(その他)〕
  • 中国と米国、英国にある子会社と日本子会社を含めたグループポリシーの作成に苦慮している。〔情報システム〕
  • 具体的な取扱い個人情報の洗い出し、海外子会社との共同利用の実態把握が課題。〔不動産〕
  • 当社は海外の法人の日本法人(子会社)であるが、親会社グループの個人情報関連ポリシーが日本よりも保守的なのか不十分なのかの見極めが難しい。〔その他金融〕

社内のコントロールに不安

 法改正に関わらない課題としては、社内のコントロールがしきれていないのではないかという不安が各社に共通していました。

取得関連
  • 当社はPマーク取得企業であるため、利用目的や同意書面等の整備に取り組んでいるが、“野良” になっているものがないか懸念している。〔サービス(その他)〕
  • 申込書類やサイト(個人情報が取得されるもの)が法務の知らないうちに現場で作成され、チェックが後追いになりがち。〔教育〕
漏えい関連
  • 各事業で取得している個人情報(個人関連情報)の項目がバラバラで統一されていない。漏えいが起きた際の緊急連絡対応がうまくいくかどうか。〔製造業〕
  • インシデント発生後の対応プロセスの周知が課題。〔サービス(インターネット)〕
社内周知関連
  • 顧客の個人情報を扱う部署や担当の変更が(他社と比較しておそらく)かなり多いため、担当者に個人情報保護の重要性が伝わりづらく、法令対応への関心が薄い。〔外食業〕
  • 社内規則・プライバシーポリシーなど外形的な面は準備できるが、そもそも各担当者の個人情報保護に関する知識が追い付いていない印象で、社内教育・周知の必要性を感じている。〔サービス(その他)〕

 また、個人情報保護の主管部署については、法務で担当していない企業も多いと思われますが、どの部署で何を担当するかという点で課題を抱えているとのコメントも見られました。

  • 変化の激しい分野であり、かつ自社の事業も大きく変化するなか、どの部門が最も社内外の情報収集に適しており、主管部門となるべきかが不明確。〔製造業〕
  • 組織分担がうまくいっていない。〔不動産〕

 なお、個人情報に関する法務の関わり方としては、「保護」に軸足が置かれることが多いと思われますが、「活用」の側面をめぐる課題を指摘するコメントも紹介しておきたいと思います。

  • 個人情報の保有部門とマーケティング部門の連携が悪く、ともすれば同意なくマーケティング調査に使用されないかが懸念されていた。結局、積極的な使用は控えるということになったが、個人データの活用という面で競合他社に一歩先を行かれてしまうのではないかという懸念がある。〔小売業〕

 ここまで、2022年の課題の概観と改正個人情報保護法への対応について紹介しました。次回は、会社法・コーポレートガバナンス、DX対応や公益通報者保護法について、法務担当者がどのような課題を抱えているか紹介します。
(次回に続く)

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する