日本の改正個人情報保護法が2017年5月30日に施行された。原則すべての企業に個人情報保護法上の義務が課されることになった。これに続き、欧州のGDPR(一般データ保護規則)が2018年5月25日に施行されようとしている。残り約半年を残し、企業の対応も大詰めを迎えている。
GDPRの施行に向けてどう準備すればよいのか。「企業がGDPRに対応するステップは3つある」と、デロイト トーマツ リスクサービスでシニアマネジャーを務める、公認情報システム監査人(CISA)で情報セキュリティスペシャリストの大場敏行氏は説明する。
具体的には、以下の3ステップの流れになるという。
- 個人情報の取り扱いに関する現状調査
- 現状調査を基にした、具体的な対策の検討
- 対策の検討内容を全社(グループ企業の場合はグループ全体)に展開
まずはデータを棚卸ししてギャップを調査する
現状調査の作業は、データマッピング(データの棚卸し)とギャップ調査の2つで構成する。
最初に取り組むステップは、データの棚卸しだ。個人情報をどのように取り扱っているのかを調べる。個人情報が何件あり、誰が管理していて、誰に提供されているのか、などを調べる。「GDPRの規制の対象となるデータが会社のどこにあり、GDPRによってどのような影響を受けるのかがおおよそ分かる」(大場氏)
データの棚卸しが済んだら、ギャップ調査を行う。GDPRが求める要求と、現在の個人情報の取り扱いにどれだけ差異があるかを調べる。「GDPRに対応できている箇所とこれから対応しなければいけない箇所を識別できる」(大場氏)
見つかった課題への対策を検討するチームを作る
現状調査を終えたら、具体的な対策の検討に入る。現状調査で判明した課題をテーマごとに分類する。例えば、規程の見直しや情報システムの見直し、業務プロセスの見直し、などに分類する。
大場氏は、それぞれの課題ごとに対策のための分科会を立ち上げることを推奨する。規程分科会、システム分科会、プロセス分科会などだ。それぞれに情報システム部員や業務部門などから専門要員を参加させることが大切だ。
全社への展開では現場ごとのカスタマイズも発生する
最終段階として、本社で検討した対策内容を、グループ会社全体へと展開する。典型的な方法としては、グループ会社向けに説明会を開催するというものだ。その後は、個々の現場ごとにGDPRの要件に対応する方法を考える。
本社の意向通りでは現場にフィットしない対策もあると大場氏は言う。「個々の現場で、細かい点を見直してカスタマイズする必要がある」(大場氏)。本社はカスタマイズのフォローも行う。対策の有効性など、現場から挙がる問いに回答するQ&Aサポートも実施する。
