欧州で「一般データ保護規則(GDPR)」が導入されてから3年。日本企業はGDPR対策を誤解していると見るのは、ドイツEnobyteの最高経営責任者(CEO)を務めるHermann Gumpp氏だ。データ保護に明るいGumpp氏に、GDPRの考え方について聞いた。
Enobyteの最高経営責任者のHermann Gumpp氏。日本に2年住んだことがあり、日本語が堪能でインタビューは日本語で行われた。EnobyteはGDPRアセスメント、DPOアウトソースなどのサービスを提供する
--GDPRが導入されてから3年が経過します。これまでの日本企業の状況をどう見ていますか。
2016年に採択された後に2年間の準備期間があり、2018年に適用になりました。ごぞんじのように、違反すると罰金が課されます。Enobyteは、約80社の日本企業のGDPR対応の実装とコンサルティングを行っています。そこから言えることとして、われわれの本拠地であるドイツとは差があります。
差を生んでいる要因の1つは、日本企業の多くがGDPR対策を法律面でのプロジェクトと思っていることです。弁護士に丸投げして終わりという話も聞きますが、これは大きな間違いです。
--GDPR対応は、法対策ではないということですね。
GDPRの大半は技術と組織の対策です。ITインフラ、セキュリティをレベルアップし、従業員のスキルをレベルアップして、説明会を通じて情報の扱い方などを理解してもらいます。定期的にGDPR対応のドキュメントを作る作業も必要です。
時々、「われわれはGDPRプロジェクトを2018年に完了している」という企業がありますが、GDPRは継続的な取り組みです。法律も変わるし、技術も進んでいます。保存するデータも毎日増えています。常にレビューが必要で、従業員のトレーニングも然りです。完了することのないプロジェクトとも言えます。
--GDPR対応で、日本企業と欧州企業の違いはほかにもありますか。
差を生んでいるもう1つの要因としては、GDPRで重要になる「Data Protection Officer(DPO)」の解釈です。一方で、DPOが「データ保護責任者」と訳されてしまったことが大きいと思うのですが、DPOは責任者ではありません。責任者は組織や企業のトップなのです。そのためEnobyteは、自社のDPOサービスを日本語で「外部データ保護オフィサー」と説明しています。
DPOは責任者である社長をサポートする役割であり、チーフプライバシーオフィサーのように、社長の代わりに対策を行う責任者をチェックするのが仕事となります。DPOは、監督当局と企業の間で中立的な存在でなければなりません。税でいうと、税理士のようなイメージです。責任とコントロールは別々にやらなければなりません。GDPRの対策をする人、GDPRの対策ができているかどうかをチェックする人は違うというのが大前提です。
日本では、DPOの役割を理解して任務を果たしている人が少ない状況です。弁護士に資料を作成してもらっても、その資料と実際のIT対策は全く違うものです。
--新型コロナウイルス感染症のパンデミックによってデジタル化が進んだと言われます。GDPRの点で大きな変化やトレンドはありますか。
世界的に自宅で仕事をする人が増えており、データ漏えいが増えています。ランサムウェアの被害も増えており、これはGDPRに抵触する部分です。データが漏えいすると、72時間以内に監督当局に報告しなければなりません。
トレンドとしては、サプライチェーン(供給・調達などに関わる企業間のつながりの概念)のリスクが挙げられます。あるサーバーがダウンすると、何もできなくなることが分かりました。ビジネスリスクへの意識が高まり、ビデオ会議なら、どのサービスを使うのか、相手はどういう会社なのか、データはどこにあるのか――など、これまで以上に考えるようになってきました。
同時に、「データ主権」への意識も高まっています。自分のデータを自分たちでコントロールするという考え方で、データをインハウスで持つ時はどう保存するのか、外部の会社を使う場合はその会社がGDPRに対応しているのか。米国や中国を回避して国内のサービスプロバイダーを使うという変化も感じます。
--GDPR対策においてアドバイスはありますか。
まずはアセスメント、評価です。自社が要件をどのぐらい満たしていないのかをチェックしてギャップを分析します。
次は組織面を見ます。例えば、GDPRは外部に対して個人情報の取り扱いについての通知を営業活動、ウェブサイト、アプリケーションなどの内容に即して作成される必要があります。このような、外部と社内に対する要件に対応する作業を進めます。
その後が技術対策で、実際のデータ処理や保護の部分です。これに加えて、ドキュメンテーションが必要です。GDPRに対応できていることを証明するものとなります。
最も重要なのは人の教育です。どんなに素晴らしい技術を導入しても、従業員が間違えることでマルウェアが入ってしまったという例が多いのです。
日本企業でも罰金を課される例が増えています。ただ、罰金よりもITインフラやデータ漏えいなどのダメージの方が大きいです。顧客やパートナーの信頼を損なってしまうからです。
GDPRを複雑に感じるかもしれませんが、メリットがたくさんあります。不要なデータを削除してコストを削減しながら、ITセキュリティを改善できます。土台として、きちんとしたITセキュリティ対策ができていれば、対応は簡単です。ぜひGDPRをビジネスツールとして使い、プライバシーを保護しつつ自社のセキュリティリスクを下げ、顧客にいい商品を提供することに役立ててほしいですね。
米国や中国に比べて日本は、ITで遅れているかもしれません。私が初めて日本を訪れた20年前は最先端の技術の使い方をしていると感動しましたが、今はそうでもありません。ただ、日本には「Society 5.0」のように、良い社会を作ろうという動きがあります。GDPRをうまく使うことで、高品質でより良い商品を作ることができる、素晴らしいチャンスがあると思います。
