“ビジネスの勝利”に向けて法対応とITとが一体となる
ルールを策定し、社員に周知したところで、そのルールを運用するための「データガバナンス基盤」がなければ、GDPRを遵守することができない。大洞氏によれば、日本で基盤の構築まで実施できている組織はまだ少なく、実際の要求に対してスムーズに対応できない恐れがあると指摘する。
継続的にGDPRを遵守するためには、「検出→管理→保護→報告」という4ステップからなるサイクルを回していくことをお勧めする。
検出では、保有している個人データを識別し、管理者・処理者、利用目的、保管状況などを特定する。管理では、個人データの使用方法と範囲、保管期限などを制御する。保護では、リスクの検出と侵害の防止といったセキュリティ対策を実装する。報告では、必要に応じてログを管理して、データ侵害発生時などにデータ主体や当局への報告に使用する。
特に個人データの特定、いわゆるデータマッピングは、組織によって深度がまちまちになりがちだ。関連部門・子会社などへデータの提供を依頼するだけでは、ある拠点は細かすぎるほど、ある拠点はおおざっぱで使えないなどという状況になってしまう。個人データをどのように識別するのか、どのようにまとめるのか、説明会を開くなどの下準備が必要となる。
こうしたデータガバナンス基盤の構築において、IT部門が成すべき役割は幅広く、また重要度も高い。
大洞氏は「現代の環境では、個人データの取得から活用、データ主体への対応にいたるまで、ほとんどすべてをITが担います。社内の個人データも、サーバーの中にあればまだしも、個人PCのExcelファイルにあるかもしれません。これらを自己申告で検出したり、適切に保管したりするのは困難で、ITによる自動化や保護対策が欠かせません。つまり、IT部門がGDPR対応の“カギ”となるのです」と指摘する。
具体的には、「(1)個人データを取り扱うIT環境の提供」「(2)コンプライアンスなどのための管理機能の組み込み」「(3)開発・運用業務における個人データ保護」の3つがIT部門の役割だ。もちろん個々の対応において、各種法令要件への準拠やDPIA(データ保護影響評価)などの実施が必要となる。特に(3)においては、社内のシステムだけでなくクラウドサービスのような外部のシステムも対象となる。そのため、広範なシステムのチェックや承認、モニタリングを担う管理責任者との連携・協力は不可欠だ。
このように、GDPRへの対応はルールや体制作りといった法令遵守とセキュリティ対策や運用の自動化といったIT施策の双方を、一体的に行う必要がある。そのためリスクマネジメント・コンプライアンスの専門家であるKPMGコンサルティングは、ITの専門家である日本マイクロソフトとの強力な連携により、日本企業を積極的に支援する体制を築いている。
具体的な施策の1つとして、2018年2月にはKPMGグローバルでマイクロソフト社のサービスを活用した「GDPR成熟度評価ロードマップ」を発表。処理・手続き・技術の面で機能をカスタマイズしたプログラムを用い、コンプライアンス上の課題を解決するためのロードマップを提供するものだ。このサービスはもちろん日本でも提供可能となっている。
また、定期的に個別相談会付きの共催セミナーを開催するなど企業方針とIT施策の双方の面から、どのようにGDPRに対応していけば良いのか積極的に情報発信を行っている。
「個人データの取り扱いは、働き方改革やビジネスイノベーションに取り組んでいけば、自ずと急増するでしょう。また、法規制も変化していくことでしょう。10年後の個人データ環境は、今とはまったく違うものになっているはずです。そのときになって慌てても遅いのです。そして、環境や法令の変化へ迅速に応じるためにも、継続的に見直していくことも重要です。今が、データガバナンスのありかたを考えなおす時期です。私たちの知識や経験とマイクロソフトのソリューションを活用して、“ビジネスの勝利につながるデータ活用”の仕組みを創りあげてください」(大洞氏)