“特殊な厳しい法律”ではない! ビジネスに勝つためのGDPR対応プロジェクト

明確なゴールを設定し具体的なルールや施策を作りあげる

 図は、グループ全体でのデータガバナンス態勢をイメージしたものだ。管理組織体制を整備して、各拠点との連携・協力の仕組みを策定する。事務局の役割を明確化して、関連文書を作成する。「ゴールを設定することが非常に重要」と、大洞氏は述べる。


※クリックすると拡大画像が見られます

 「GDPR対応プロジェクトが進まない要因として、まずゴールを明確に定義していないことがあげられます。そして、本社・子会社の役割分担が明確にできず、管理ルールをどうやって定めればよいのか、どこまで対応すべきかがわからず、リードする部署もはっきりしないのです」(大洞氏)

 まず本社は、グループ各社をリードするプロジェクト全体のコントロールタワーとして機能する必要がある。各社は、本社の提示する方針に従って、自社の管理態勢・ルールを整備する。

 管理ルールは、「リスクコントロール発想」で策定すべきだ。例えばGDPRでは、「規制当局へ72時間以内のプライバシー違反を報告する」と定められているが、このままルール化しても意味がない。何について、誰が、何を、どこに報告するのかという管理フレームワークを策定する必要がある。

 そして、グループ共有ポリシー、拠点別規程、細則/個別SOPなどというように、ルール体系を整理して整合性を取る。個人データ管理ルールと、各種の社内規程との関連性を整理しておくことも重要だ。


※クリックすると拡大画像が見られます

 「現場の混乱を回避するためにも、個人データや体制・ルールなどを明確に定義しておきたいものです。例えば、用語としての個人データ、企業の管理対象としての個人データ、規制対象として定義される個人データが明確になっていれば、“この議事録に記載された参加者名は域外移転の規制対象なのか?”などといった悩みもなくなるでしょう」(大洞氏)

 また大洞氏は、プロジェクトをリードする部門として、ガバナンス態勢・統制構築部署(内部統制・リスク管理など)、法令遵守確認・支援部署(法務・コンプライアンスなど)、個人情報保護責任部署(総務・IT・セキュリティなど)の担当者からなる「PMOチーム」の設置を推奨する。このPMOチームがプロジェクトをマネジメントしていくことで、ゴールに向けた足並みを揃えることができる。


※クリックすると拡大画像が見られます
インフォメーション
連絡先
KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー
TEL:03-3548-5111(代表)
Email:cybersecurity@jp.kpmg.com
Web:www.kpmg.com/jp/gdpr
日本マイクロソフト株式会社
TEL:0120-166-400
営業時間:月曜日~金曜日 9:00~17:30(祝日除く)
提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]