ニュース
» 2017年07月20日 10時00分 公開

自力でEUの一般データ保護規則対応できるか、IIJがGDPR対策ポータルサイトを開設

違反時、日本円にして最大25億円もの制裁金を課される可能性があるGDPR。施行は2018年5月に迫り、日本企業も準備を始める必要がある。しかし自力で対応できるものなのだろうか?

[高橋睦美,キーマンズネット]

 インターネットイニシアティブ(以下、IIJ)は2017年7月10日、「IIJビジネスリスクマネジメントポータル」を開設した。2018年5月25日に施行予定の欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation:GDPR)」対応に取り組む企業を支援するためのポータルサイトで、GDPRについての解説記事や逐条解説、関連ニュースなどを掲載する他、オプションでチェックリスト形式のセルフアセスメントや問い合わせ対応といったサービスも提供する予定だ。

IIJが開設した「IIJビジネスリスクマネジメントポータル」 IIJが開設した「IIJビジネスリスクマネジメントポータル」

 GDPRとは、EUにおける個人データの処理や、EU域内から第三国に個人データを移転するに当たっての法的要件を規定した法律だ。ヨーロッパで事業を展開し、従業員や顧客、取引先の個人データを扱う企業ならば影響を受ける。特筆すべきは、GDPRに違反した場合の制裁金が高額なことで、2000万ユーロ以下、または企業グループの全世界年間売上高の4%のうち、高い額を上限とする制裁金が科せられる可能性がある。

 IIJのビジネスリスクコンサルティング部長の小川晋平氏は「企業規模によっては、兆円単位の制裁金が科せられる可能性がある。企業経営に与えるインパクトは非常に大きい」と指摘した。一方で、日本企業の対応は順調とはいえない。同社顧客を対象とした調査によると、GDPR対応に向け全社的なプロジェクト体制を構築済みと回答した企業は2割(20.8%)のみで、残りの約8割は部門単位での対応にとどまっている。

日本のGDPRの対応状況 日本のGDPRの対応状況
小川晋平氏 小川晋平氏

 本来ならばGDPR対応には、法務や人事、個人情報取り扱い責任者やIT部門など、さまざまな部署を巻き込む必要があるが、「言い出しっぺがやれと指示されることを恐れているケースや、各部署がバラバラに動いていて無駄が発生しているケースもある。また、自分たちで対応しようと思っても日本語による情報がない。原文を読み込むのは大変な上、読んでも何をやったらいいか分からないことも多い。かといって、コンサルティング企業や弁護士事務所に頼むと数千万円レベルの見積もりが出てきて、とても決裁が通らない」(小川氏)。

 IIJではこうした状況を踏まえ、何とかして自社でGDPR対応を進めようと考える企業に、日本語で分かりやすい情報を提供するため、IIJビジネスリスクマネジメントポータルを開設した。

 ポータルでは、具体的にどのようにGDPR対応を進めていくべきかを解説する「はじめてのGDPR」という制度解説コンテンツの他、逐条解説、ガイドライン解説やArticle 29 Working Party(WP)の関連ドキュメントの解説などを提供する予定だ。「データマッピング」と呼ばれるアセスメント作業や、優先順位に応じて対応方針を定める「中期計画」の策定といったポイントに加え、条文の背後にある「リスクベースアプローチ」「説明責任」「透明性」といったEUのプライバシーに関する考え方なども説明する。

 小川氏によると、GDPR対応に向けた現状調査や英語での中期計画の策定を自社でやろうとすると、半年程はかかるという。ちなみに、クラウドサービス事業の関係で早期から対応に取り組んできたIIJ自身の場合、「2016年1月から1年半かけて取り組んでいるが、ガイドラインが出てきていないところもあってまだ終わらない。データの域外移転に関してBCR(Binding Corporate Rules:拘束的企業準則)も申請したが、承認待ちの状態だ。契約書の見直しやアジアも含むグローバルな教育体制の整備などにも時間を要している」(小川氏)そうだ。

 IIJビジネスリスクマネジメントポータルのコンテンツには、そんな同社の知見も反映されているという。「GDPRについて体系的に情報を整理した日本語でのサイトは今までなかった」と小川氏は述べ、コンテンツを通して、対応に手をこまねいているうちに日本企業が制裁金を受けるような事態を避けられるよう支援したいと語る。

 IIJビジネスリスクマネジメントポータルの利用には会員登録が必要だ。一部コンテンツのみ閲覧可能な「無料会員」の他、ホワイトペーパーも含めた全コンテンツの閲覧が可能な「ベーシック会員」は月額3480円となる。また、主に企業顧客を想定した「アドバンスト会員」は月額1万5000円で、2017年9月以降、Q&A対応やセルフアセスメント、DPO(Data Protection Officer)補佐やデータ保護違反時、72時間以内報告補佐といったオプションサービスが順次提供される予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。