明確なゴールを設定し具体的なルールや施策を作りあげる
図は、グループ全体でのデータガバナンス態勢をイメージしたものだ。管理組織体制を整備して、各拠点との連携・協力の仕組みを策定する。事務局の役割を明確化して、関連文書を作成する。「ゴールを設定することが非常に重要」と、大洞氏は述べる。
「GDPR対応プロジェクトが進まない要因として、まずゴールを明確に定義していないことがあげられます。そして、本社・子会社の役割分担が明確にできず、管理ルールをどうやって定めればよいのか、どこまで対応すべきかがわからず、リードする部署もはっきりしないのです」(大洞氏)
まず本社は、グループ各社をリードするプロジェクト全体のコントロールタワーとして機能する必要がある。各社は、本社の提示する方針に従って、自社の管理態勢・ルールを整備する。
管理ルールは、「リスクコントロール発想」で策定すべきだ。例えばGDPRでは、「規制当局へ72時間以内のプライバシー違反を報告する」と定められているが、このままルール化しても意味がない。何について、誰が、何を、どこに報告するのかという管理フレームワークを策定する必要がある。
そして、グループ共有ポリシー、拠点別規程、細則/個別SOPなどというように、ルール体系を整理して整合性を取る。個人データ管理ルールと、各種の社内規程との関連性を整理しておくことも重要だ。
「現場の混乱を回避するためにも、個人データや体制・ルールなどを明確に定義しておきたいものです。例えば、用語としての個人データ、企業の管理対象としての個人データ、規制対象として定義される個人データが明確になっていれば、“この議事録に記載された参加者名は域外移転の規制対象なのか?”などといった悩みもなくなるでしょう」(大洞氏)
また大洞氏は、プロジェクトをリードする部門として、ガバナンス態勢・統制構築部署(内部統制・リスク管理など)、法令遵守確認・支援部署(法務・コンプライアンスなど)、個人情報保護責任部署(総務・IT・セキュリティなど)の担当者からなる「PMOチーム」の設置を推奨する。このPMOチームがプロジェクトをマネジメントしていくことで、ゴールに向けた足並みを揃えることができる。