GDPR絶対理解、プロが教える「ココだけ」対策ポイント：待ったなし！　GDPR対策（2/3 ページ）

　GDPR施行後、体制整備が不十分だからといって、日本企業に直ちに制裁が科されるとは考え難い。透明性と適合性の確保を粛々と遂行することは重要だが、真っ先に「問題視されそうな部分＝リスクの高い事業領域」を優先してGDPR対応を図るべきだ。松浦氏はリスクの高い事業領域の典型として、EU域内でのB2Cサービスのケースを挙げた。

　「GDPRの適用を受けるB2Cビジネスを展開する企業で必ずすべきことは、カスタマーとのコンタクトポイントにおけるGDPR対応です。例えば利用規約、プライバシーポリシーなどを整備し、Webからの商品購入などの際に個人データの取り扱いについて明示して、本人の同意をとることが重要。社内体制の整備などについては、その後計画的に実行していくべきでしょう」（松浦氏）。

　EU域内でコンシューマー向けサービスを提供している場合、まず取り組むべきことは、顧客本人の同意を得るための対策だ。その次に優先順位が高いのが、ドキュメント類の整備である。個人情報管理規定や、プライバシーポリシー、サービスなどの利用規約、情報セキュリティポリシーなどの文書を優先して整備することで透明性が確保でき、説明責任を果たす下地が出来上がる。2018年5月25日までには、少なくともドキュメントが整備されていることが必須だと考えられる。

GDPR対応スケジュール

　では、日本企業のGDPR対応はどのようなステップで行えばよいのだろうか。PwCコンサルティングでは、対応を進めるために3つのフェーズに区切って整理する。

図2　GDPR対応に至る3つのフェーズ（出典：PwCコンサルティング）

　各フェーズの実行にかかる期間は次のように想定される。これはPwCコンサルティングの事例から導かれた実績値だ。ただし、グローバル企業全体においてではなく、日本に本社を持つ企業の場合の期間となる。

　グローバル企業では、全体の対応にさらに長い期間が必要になる。また、展開する事業がB2BなのかB2Cなのか、EU域内の個人データをどの程度の規模で取り扱うのかによって大きく変わる。

　PwCコンサルティングは、2018年5月25日までにフェーズ2までを終了させることを推奨しているが、例え期日までに間に合わなくともプロセスを前に進めることが重要だ。各フェーズで必要なタスクは次の通りだ。具体的なタスク遂行の参考のために、同社が各フェーズにおいて対応するサービス項目を添える。自社のみで対応する場合でも同様の作業が必要になる。