- 2022年11月29日
IAPP Europe Data Protection Congress 2022 参加報告3回目は、参加したセッションに関するレポートです。
個人データのシステム管理
前回のブログ記事でも言及しましたが、EDPC 22では、プライバシーテック企業がスポンサーとなっている出展やセッションが数多く開催されました。その多くが、企業が保有する膨大なデータに含まれる個人データの適切な管理を目的とする、データマネジメントに関するものでした。
セッション「A Data Intelligence and Automation-centric Approach for Privacy Management(プライバシー管理のためのデータインテリジェンスと自動化中心のアプローチ)」では、社内で並行運用されている情報システム(販売、人事管理等)に連接し、企業内横断的に個人データの所在や管理状況を可視化する技術が紹介されました。こうした技術のメリットとして、
① 個人データを取り扱う社内業務の管理工数を削減できる
② 社内に保管されている個人データの所在と管理状況をリアルタイムで一元的に掌握できるため、データ主体の権利行使に速やかに対応できる
③ 個人データを取り扱う社内業務のリスクマネジメントを効率的に実行できる
ことが紹介されました。また、今後の課題としては、ソリューションベースの個人データ管理体制の構築(組織、ビジネスプロセス、トレーニングなど)、非電子的データ(いわゆる紙媒体に記録されているデータ)の取り込みなどが指摘されました。
個人による提訴への対応
GDPR第82条は、個人データの違法または不適切な取り扱いに起因する個人の実体的・非実体的損害について、個人が管理者に賠償を請求する権利を定めています。セッション「Civil GDPR Litigation: Defense Against (Mass) GDPR Damage Claims( GDPR 民事訴訟: (大量の) GDPR 損害賠償請求に対する防御)」では、ドイツにおける個人による賠償請求訴訟(Civil Litigation)の歴史的経緯や、訴訟が提起された際の防御戦略について解説されました。
この中で注目されるのが、賠償請求訴訟に対する司法の姿勢の変化です。従来、欧州各国の裁判所(特にドイツ)では、個人が主張する権利侵害への賠償請求を広く受け入れ、管理者等に賠償を命じる判決が数多く下されてきました。しかし本年10月、欧州司法裁判所法務官は、非実体的損害に対する個人への賠償責任について限定的な意見を提出しました。
司法官意見のポイントとして
① 原告側に挙証責任があること(単に個人データが不適切に処理された事実だけでは不十分)
② 全ての非実体的損害が深刻度にかかわらず補償の対象になるわけではないこと
③ 不適切な個人データの取扱いに対する単なる怒りや不快感は保証対象とはなりえないこと
④ 不快感と損害を区別するのは加盟国の司法の役割であること
が紹介されました。セッションの最後に、この法務官意見が判決に反映されるかについて、挙手による参加者意見が求められましたが、参加者の意見は半々でした。
経営レベルでのデータ利用とガバナンス
個人データやプライバシーの保護と並んで活発に議論されたのは、企業経営における個人データの利用です。GDPRは、一般的に個人データの処理における個人の権利やプライバシーの保護を目的としていますが、もう一つの目的として、適切なデータ保護を前提とする個人データの自由な流通による機会の創出があります。そして、後者の目的に立ってビジネスを展開する動きとして、欧米企業の間では、プライバシー保護を考慮した経営層(Board LevelまたはC-suite)主導の全社的データ戦略が構築されてきており、その一例として、セッション「From Compliance to Strategy: Data as a Board Level Issue & Business Opportunity(コンプライアンスから戦略へ。取締役会レベルの課題としてのデータ、ビジネスチャンスとしてのデータ)」では、「全体論的データ戦略(Holistic Data Strategy)」の概念が紹介されました。
このような動きの背景には、企業やビジネスの成長を通じた収益力の強化、提供される財やサービスの性能・品質の向上、社会変化や技術の進化に追随したプライバシー保護といった、企業を取り巻く様々なステークホルダーの要求に対し、企業経営におけるデータ活用戦略として、企業内の各部署が個別に行動するのではなく、企業全体として一貫した戦略をもって対応しなければならないという認識が高まっていることがあります。また、セッション講師であるGoogleのCPOは、全社的データ戦略推進の中心はこれまでは主にCIO(最高情報責任者)でしたが、プライバシー保護との両立を考慮すると、CPO(最高プライバシー責任者)の重要性が高まることを強調しました。
セッション後、個人データの利用に起因する直接リスクだけでなく、データ侵害発生時の企業の社会的評価や消費者の信頼感の低下などの同時発生的リスク(Collateral Risk)にどのように対応しているのか質問したところ、企業により対応は異なるが、プライバシー部門に加え、リーガル、コンプライアンス、広報などの部門が協力して対応しているようであるとの回答を得ました。
サードパーティーリスク管理
セッション「Third-party Risk Management: Improve Cybersecurity Posture & Business Continuity(サードパーティーリスクマネジメント サイバーセキュリティ対策と事業継続性の向上)」では、ベルギーの醸造会社アンハイザー・ブッシュ・インベブ(ABInveb)によるサードパーティーリスク管理がトピックでした。
委託先などのサードパーティーベンダーの適切な管理は、プライバシー保護における重要な課題である一方、委託元にとっても頭が痛い問題となっています。セッションの冒頭では、ブリティッシュエアウェイズや国際赤十字のハッキング被害による個人データの流出や、尼崎市で発生した市民の個人情報が格納されたUSBメモリの紛失事件が紹介されました。これらは業務委託先において発生した事故でしたが、委託元である企業や組織も法的・道義的責任が問われる事態となりました。
セッションでは、このような委託先における情報事故の背後に共通する要因を、4W1H(Why What When Who How)の視点から分析し、それらを以下のとおり整理していました。
- Why:サードパーティーリスク管理は、プライバシー規制強化に合わせてビジネス上の義務となっている
- What:サードパーティリスク管理は、企業の法的責任に留まらず、DXやデジタルリスクなど、ビジネスのあらゆる側面に関係する
- When:委託先選択時だけでなく、反復的なサードパーティー管理が必要
- Who:プライバシー部門だけでなく、社内の関係部門が横断的に対応するべき
- How:効果的なリスク管理のため、サードパーティーを継続的に評価改善する(サードパーティー選択時や、定期的な監査だけでは不十分)