編集部からのお知らせ
動画セミナー「Security Trend Winter」公開中!
最新記事まとめ「医療IT」
サイバーセキュリティ未来考

日本企業も大きな影響を受ける「GDPR」--まずは「対象か」の確認を - (page 2)

吉澤亨史

2017-11-15 06:00

GDPR対応の本格化はこれからか

 GDPRの施行を2018年5月に控え、EU圏内に支社や工場があるグローバル企業や大手企業などは、対策を急いでいる。しかし、日本だけでなく世界的に見ても、GDPRの認知はまだ低い状況となっている。ウォッチガード・テクノロジー・ジャパンが9月に発表したGDPRに対する組織の理解度と準備状況に関するグローバルサーベイの結果を見ても、世界で37%の回答者がGDPRへの順守義務があるのかどうかさえ知らず、28%は遵守義務がないと認識している。

 GDPRへの対応には、個人情報の特定や対象の法令の整理などの「アセスメント」、管理体制の強化や個人データ利用業務の見直し、システムソリューションの導入・更改といった「方針検討」、個人情報保護対応強化策の実装と各国への展開を行う「実装」、そしてその後の「運用」の4つのフェーズが必要とされている。しかし、PwCが10月に発表した調査では、GDPRへの対応を完了した日本企業がわずか2%であった。

 日本企業の対応状況を詳しく見ると、「準備の具体化を開始」が17%、「アセスメントを完了」が22%、「アセスメントを開始」が48%、「準備に未着手」が12%となっている。また、GDPR準拠において利用しているサードパーティは、米国ではコンサルティングファームや法律事務所が高い割合を占めているが、日本では85%がITベンダー企業を挙げている。

 GDPRの影響を受けるのは、「EUに子会社、支店、営業所を有している企業」「日本からEUに商品やサービスを提供している企業」「EUから個人データの処理について委託を受けている企業」となる。こうした企業はGDPRへの対応を考えなければならない。大きな問題となるのは、日本が十分性を認められていないため、域外移転に「BCR(Binding Corporate Rules:拘束的企業準則)」あるいは「SDPC:Standard Data Protection Clause:標準契約)」を利用しなければならない。

 一方で77%の日本企業が、最低でも100万ドルをGDPRプロジェクトに投入する予定としている。これは、米国や英国の企業よりも多くの投資を計画していることになる。日本の企業は世界の企業に比べると、こうした規制への対応を完璧に行うとする傾向がある。GDPRは施行と同時に完全対応している必要がないため、例えば、現在保有しているEEA域内の個人情報の廃棄をシステム更改のタイミングで実施しても良い。

 まずはアセスメントの際に順位付けを行い、無理のない範囲で順次対応していくことが効果的といえるだろう。

※参考文献……PwC Japan「GDPR対応に向けたロードマップ」、新日本監査法人「EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項」(PDF

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]