“特殊な厳しい法律”ではない! ビジネスに勝つためのGDPR対応プロジェクト

在欧企業だけでなくEEA(欧州経済領域)外の企業・組織も規制の対象となる「GDPR(General Data Protection Regulation):一般データ保護規則」。今、多くの企業がその対応に追われている。本記事では2018年4月25日に都内で行われた日本マイクロソフト株式会社とKPMGコンサルティング株式会社の共催による「EU一般データ保護規則(GDPR)施行まで1カ月!これだけは押さえておきたいポイント解説セミナー」を取材。講演を終えたKPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーグループ/ディレクター 大洞健治郎氏にGDPR対応の勘所を聞いた。

GDPRは厳しいがいずれは世界の基準となる

 2018年5月25日、EUで「GDPR(General Data Protection Regulation):一般データ保護規則」が施行された。日本の個人情報保護法に相当するような法令で、これまでEU加盟国がバラバラに運用してきたデータ保護規則を統一するものだ(※各加盟国で独自に設定できる条件も一部存在)。

 GDPRは、データの利用を制限しようというだけのものではない。むしろ忘れられる権利や意義を唱える権利などのプライバシー権を明確化することで安全性を高め、個人データ活用を促進する「Digital Single Market」を実現しようというねらいもあるという。

 GDPRの特徴は大きく3つあり、(1)個人データの処理と移転について具体的に記されており、管理者や処理者の義務・規制が厳格に定められていること。(2)罰則が強化されており、違反に対して巨額の制裁金が適用されること。(3)EEA(欧州経済領域)外の企業・組織も規制の対象となり、個人データの定義も広範囲であること。──などがあげられる。

 日本企業にとって、(3)は特に重要だ。EEA域外の国・地域に属する企業であっても、EEAに所在する個人(国籍や居住地などは問わない)の個人データを扱うのであれば、規制の対象となるからだ。EUに支店や営業所を保有している企業、EUにサービスや商品を提供している企業などが主な対象となるが、保護対象となる個人データにはさまざまなケースがあるため、安易に“自社は対象外”と考えるのは早計だ。


KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリーグループ/ディレクター
大洞健治郎氏
米国公認会計士(カリフォルニア州)/公認情報システム監査人/公認内部監査人

 GDPRを“特殊な厳しい法律”と捉える読者も多いことだろう。しかし、KPMGコンサルティング サイバーセキュリティアドバイザリーグループ/ディレクターの大洞健治郎氏は、現代のデータ活用において必要十分な規則であることを指摘する。

 従来の「EUデータ保護指令(Directive 95/46/EC)」は、1995年に策定された。当時のインターネット人口は1,600万人程度で、利用者率は0.3%、携帯電話の契約数も9,000万件ほどだった。しかし2017年には、インターネット利用者数は37億人を超え、利用者率は50%に迫り、携帯電話回線契約は50億件にものぼる。

 「GDPRは、ほんとうに“特別に厳しい”のでしょうか。EUデータ保護指令に個人データの海外移転に対する規則が盛り込まれた当時も、“特別に厳しい”と思われたものです。しかし、日本の現行法でも普通に規定されるほどになりました。それと同様に、いずれは米国や中国などもGDPRを追随し、日本でも標準的になっていくはずです。できるだけ早くGDPRに対応できるデータ管理体制を構築し、適切な取り扱い・管理プロセスを整備することが重要です」(大洞氏)

プロジェクトはフェーズを分けてまずは対応状況を把握しよう

 GDPRへの対応とひとくちに言っても、もちろん容易なことではなく、プロジェクトは大がかりなものになるはずだ。そこで大洞氏は、「構想・準備」と「導入・改善」の2つにフェーズを分けて、順次推進していくことを勧める。

 第1フェーズのステップ1(構想)では、プロジェクトをセットアップして対応方針を定める。ステップ2(調査・準備)では、現状調査を行って、対応計画を策定する。

 第2フェーズのステップ3(導入・展開)で、管理策を実装し、グループ各社に展開する。ステップ4(点検・改善)では、対応状況を評価して、改善・見直しを継続する、といった具合だ。

 プロジェクトの推進に際して、KPMGコンサルティングでは『GDPR対応簡易診断ツール』を公開している。GDPRへの対応に必要な施策が16項目にまとめられており、大まかな状況を確認することができる。

 2018年1月に公開されてからすでに53社が利用しており、“できていない”ところが明確になって、同社のようなプロフェッショナルへ具体的かつ細かい部分を相談しやすくなるというメリットがある。何ができていて、何ができていないのか、何をすべきなのかを確認してみよう。

ページリンク
インフォメーション
連絡先
KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー
TEL:03-3548-5111(代表)
Email:cybersecurity@jp.kpmg.com
Web:www.kpmg.com/jp/gdpr
日本マイクロソフト株式会社
TEL:0120-166-400
営業時間:月曜日~金曜日 9:00~17:30(祝日除く)
提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]