2019年の1月23日には、日本の個人情報保護委員会とEUの欧州委員会が「日EU間の越境データ移転」に関する合意を結びました。足立氏はこのことについて、個人データの移転など、個人情報の取り扱いにおける負担の軽減につながる可能性がある、とメリットを認める一方で、欧州在住者から訴えられるリスクが生じるデメリットもあると、注意を促します。
「EUに住む人が“日本企業に”自分の個人情報が適切に扱われていないと考えれば、それを訴えることが可能になったということです。2年後にはこの合意に関するレビューが行われますが、その際には日本の個人情報保護法もGDPRと同じぐらい厳しいものに変わるのではないかと言われています」
このような個人情報を取り巻く変化への対応を考えるときに「対策していて個人情報が漏えいした場合」と「対策せずに漏えいした場合」では、大きく結果が異なることを認識しておくべきといいます。
「GDPRの話題になると、必ずと言ってよいほど莫大な制裁金の話が出てきます。制裁を受けると最大2000万ユーロ、または全世界売り上げの4%を上限に制裁金を科すというものです。もし何も対策せずに情報漏洩をした場合は4%の制裁金が科される可能性が高いでしょう。しかしGDPRの前身となるEU指令を含め過去の事例を見ると、対策していれば2%を上限に制裁金を科されていることも多いようです。企業が個人情報を守るための対策を講じることの必要性はこれまで以上に重要になります」(足立氏)
足立氏は最後に、サプライチェーンリスクに対し、企業が取るべき“最善策”を挙げました。
「サプライチェーンリスクを含めたサイバーリスクは常に変化し続けています。そのため、企業にはまず自社のリスクを特定し、技術的対応と組織的対応をとることが求められます。そしてGDPRに代表されるレギュレーションの変化も意識する必要があるでしょう。
サイバー攻撃は排除できません。サプライチェーンも含めた自らのサイバーリスクを“管理する”のが現在の最善策といえます」
顧客から収集した個人情報の保護は企業にとって重要な命題であり、その保護をサプライチェーンまで含めて考えるべきタイミングが到来しています。個人情報保護法が強化されてから慌てて対応するのではなく、GDPRなどを参考に今できることに取り組むべきかもしれません。
中島氏、足立氏の講演に共通するのは、企業は自社だけでなくサプライチェーンのセキュリティリスクを把握すべきだということ。そして、規制に合わせた対策や管理を考えるべきタイミングにきているということです。これを機会に自社を取り巻くリスクについて、もう一度考えてみてはいかがでしょうか。