画像提供:マイナビニュース

写真拡大

●日本企業も無関係ではない「GDPR」

欧州で2018年5月に施行される個人情報保護法「GDPR」。その対策を支援すべく、インターネットイニシアティブ(IIJ)はコンサルティングやアウトソーシングのサービスを新たに発表した。

GDPRは欧州企業だけでなく、欧州でビジネスを展開する日本企業もターゲットとした法律だ。IIJが提供するサービスからは、意外なほど多くの日本企業に影響が及ぶ可能性が見えてきた。

○GDPR対策ができている日本企業は1割程度

GDPRについて説明するIIJ 経営企画本部 ビジネスリスクコンサルティング部長の小川晋平氏

日本では「EU一般データ保護規制」と訳されるGDPR(General Data Protection Regulation)は、欧州に在住する個人データの処理と移転に関する法律だ。EU28カ国とアイスランド、リヒテンシュタイン、ノルウェーを含むEEA(欧州経済領域)諸国において5月25日に施行される。

IIJによれば、EEA内に拠点があるかどうかに関わらず、EEA市民の個人データを扱う海外企業も法律の適用対象になるという。違反時の制裁金は世界売上の4%または2000万ユーロ(約26億円)のうち高いほうと、かなり厳しい。

たとえばEEA在住者の個人データを取得してメールマガジンを送付する場合、自社で行う場合は組織的・技術的な対策が、外注する場合は業者との間で適切な契約を結ぶ必要があるという。

果たして日本企業の対策は進んでいるのだろうか。IIJのセミナーアンケートからは、対応が進んでいるのは全体の1割程度にとどまると小川氏は推測する。これに対してIIJは、GDPR対策を「ほぼ丸投げできる」コンサルティングサービスを提供してきた。

だが、GDPR対策の予算によっては自社で対策を進めていかざるを得ない。これを支援する新サービスが「コンプライアンスプラットフォーム for GDPR」だ。GDPR対策が難しいとされる理由の1つに、複雑に入り組んだ構造の条文が挙げられるが、IIJはこれを自動化することで扱いやすくしたという。

●GDPR対策の課題

○GDPR対策、まずは着手することが重要

GDPR対策において悩ましい課題として、データ保護責任者(DPO)の設置がある。たとえばドイツでパソコンを使う従業員が10名以上いる拠点がある場合、DPOの選任が必要になるという。

DPOには高い独立性が認められる一方、責任を負うことがないなど、経営者から見て危険なポジションになりかねないとIIJは指摘する。現実には、欧州の現地法人でDPOを任せられる従業員がいない点も課題だという。

そこでIIJでは、このDPOについても業務委託で引き受けるサービスを発表した。こうしたDPOのアウトソーシングは欧州では始まっているが、日本では初めてになるとしている。

それでは、これから対策に本腰を入れる場合、5月25日の施行に間に合うのだろうか。IIJによるコンサルティングは半年程度かかるというが、まずはGDPR対策に着手することが重要だと小川氏は強調する。

その背景には、GDPRの主なターゲットは米国との見方があるという。2013年、元NSA職員エドワード・スノーデン氏が米国の諜報活動を告発したことで、欧州では個人データやプライバシーの保護意識が高まった。米政府や巨大IT企業への警戒感が、GDPR成立を後押ししたというわけだ。

このことから、5月25日時点で対策が間に合わなかった日本企業が、即座に制裁金の対象になる可能性は低いと小川氏は見ている。一方、完全に未着手であることが発覚した場合には、大きく報じられるリスクもあるという。たとえ施行には間に合わなくとも、GDPR対策を進めることは必須といえそうだ。