日本企業にも対策が求められるGDPRに対する国内外のソリューション
目次
日本企業もGDPRの遵守が求められる場合があるが、その対応は遅れている
GDPR(欧州一般データ保護規則)は企業に対してプライバシー保護の義務を課しています。2018年5月に施行されたGDPRは、欧州市民の個人情報を収集する日本企業に対しても適用されます。しかし、多くの日本企業は、その規則を十分に理解しているとは言えず、対策の遅れが指摘されました。
PwCが2018年1月に実施した調査では、GDPRへの対応が完了した企業は全体のわずか6%、対応策に着手した企業は13%にとどまりました。英国では3分の1が対応策に着手していたのと比べると、日本企業に周知されていない点が明らかになります。また、日本企業では42%の企業が100万ドル以上の投資計画を立てています。GDPR対応には相応の投資が必要になるのです。
GDPR対応には、プライバシー保護に関する総合的な業務プロセスの構築が含まれます。DPO(Data Protection Officer。データ保護責任者)の任命や、DPIA(Data Protection Impact Assessment。データ保護影響評価)と呼ばれる情報資産の棚卸しとリスク評価が必要です。教育体制・監査体制を整備し、その記録を残します。取引先の契約状況を見直し、個人情報管理の取り組みを監査するステップもあります。
プロセス面の対応に加え、システム面の対応も必要です。システム管理の責任や役割を定義し、リスクに応じたシステム改修を進めます。情報漏えいや事業継続の対策も必要です。特に、情報セキュリティ管理に関する国際規格であるISO 27001 への準拠が推奨されています。
GDPR対応を進めるには、欧州の法制度に関する知識と共に、情報セキュリティの知見も求められます。国際的に事業を展開する中小企業では特に、これらのスキルを有した人材を揃えるのが難しいでしょう。そのような場合は、GDPR対策ソリューションの活用が有効です。
TrustArcやMcAfeeなどの情報セキュリティ・プロバイダーがソリューション提供を開始
GDPR対策を提供しているのは、情報セキュリティに秀でたグローバル企業が主となっています。例えば、TrustArcはGDPRに関する総合的なソリューションを提供しています。GDPRに対する成熟度評価に始まり、データ収集・保持・活用状況の管理、業務プロセス・ポリシーの整備、DPIA支援、情報漏えいプロセスの定義、情報資産の追跡といったメニューを用意しています。
GDPRの中でも、個人情報を扱う頻度の高い部署には、特定の機能が求められます。特に、Webサイトを運営している場合、クッキーと呼ばれる技術を使って、訪問者の個人情報を収集しているため、何の個人情報を収集して、どのように活用しているのかを明示し、訪問者から同意を得る義務があります。クッキー利用における同意を誰から得たかを適切に追跡する機能をTrustArcが開発しています。
ウィルス対策ソフトで有名なMcAfeeもGDPR対策を行っている企業の一つです。セキュリティに強い同社は、不正アクセスやデータ通信時の傍受といった広範囲なデータ保護ソリューションを有しています。情報流出においては、個人のコンピューターやスマートフォンが被害に遭うケースも多く見られるので、デバイスの情報保護もソリューションの重要な一部です。
企業における情報システムは、自社のデータセンターで運営している場合や、クラウドサービスに委託している場合があります。いずれの場合でも企業はGDPR対策を施す義務があります。McAfeeはプライベートクラウド・パブリッククラウド等、様々なアーキテクチャに対応しているので、複雑なシステム構成でも管理が容易になります。
IIJのソリューションは法律から情報システムまで専門的なサービスを選択できる
日本ではIIJ(インターネット・イニシアチブ)が提供しているGDPR対策ソリューションが知られています。欧州現地法人のIIJ Europeと連携し、その知見を活かした対策を施せるのが魅力です。具体的には、欧州の法律に精通した弁護士と共に、分析・評価・対策立案といった初期対応を実施します。
IIJのソリューションは、初期対応から運用局面を含めて必要に応じて情報システムを選択するパッケージになっています。IIJのクラウドサービスIIJ GIOでは、GDPRの要件に準拠しており、欧州から日本へと個人情報を移転するためのプラットフォームとして利用可能です。
その他にも、DPOアウトソーシング、欧州代理人、有事対応支援、クッキー法監査といった専門性の高いサービスも提供されています。アドバイスが必要な場合には、ビジネスリスクやセカンドオピニオンを受けることもできます。自社のスキルやリスクのレベル、予算に応じて、必要なサービスを選択できるメリットがあります。
まとめ
GDPRは欧州で事業を展開する日本企業にも準拠する義務がありますが、多くの日本企業では対応が遅れていると言われています。業務プロセスから情報システムまで、その対応は多岐にわたるため、スキルや時間が不足している企業は、GDPR対策ソリューションの利用を検討すると良いでしょう。
