GDPR対応の本格化はこれからか
GDPRの施行を2018年5月に控え、EU圏内に支社や工場があるグローバル企業や大手企業などは、対策を急いでいる。しかし、日本だけでなく世界的に見ても、GDPRの認知はまだ低い状況となっている。ウォッチガード・テクノロジー・ジャパンが9月に発表したGDPRに対する組織の理解度と準備状況に関するグローバルサーベイの結果を見ても、世界で37%の回答者がGDPRへの順守義務があるのかどうかさえ知らず、28%は遵守義務がないと認識している。
GDPRへの対応には、個人情報の特定や対象の法令の整理などの「アセスメント」、管理体制の強化や個人データ利用業務の見直し、システムソリューションの導入・更改といった「方針検討」、個人情報保護対応強化策の実装と各国への展開を行う「実装」、そしてその後の「運用」の4つのフェーズが必要とされている。しかし、PwCが10月に発表した調査では、GDPRへの対応を完了した日本企業がわずか2%であった。
日本企業の対応状況を詳しく見ると、「準備の具体化を開始」が17%、「アセスメントを完了」が22%、「アセスメントを開始」が48%、「準備に未着手」が12%となっている。また、GDPR準拠において利用しているサードパーティは、米国ではコンサルティングファームや法律事務所が高い割合を占めているが、日本では85%がITベンダー企業を挙げている。
GDPRの影響を受けるのは、「EUに子会社、支店、営業所を有している企業」「日本からEUに商品やサービスを提供している企業」「EUから個人データの処理について委託を受けている企業」となる。こうした企業はGDPRへの対応を考えなければならない。大きな問題となるのは、日本が十分性を認められていないため、域外移転に「BCR(Binding Corporate Rules:拘束的企業準則)」あるいは「SDPC:Standard Data Protection Clause:標準契約)」を利用しなければならない。
一方で77%の日本企業が、最低でも100万ドルをGDPRプロジェクトに投入する予定としている。これは、米国や英国の企業よりも多くの投資を計画していることになる。日本の企業は世界の企業に比べると、こうした規制への対応を完璧に行うとする傾向がある。GDPRは施行と同時に完全対応している必要がないため、例えば、現在保有しているEEA域内の個人情報の廃棄をシステム更改のタイミングで実施しても良い。
まずはアセスメントの際に順位付けを行い、無理のない範囲で順次対応していくことが効果的といえるだろう。
