抽選でAmazonギフト券が当たる! 2018年の企業法務を振り返るアンケート実施中

GDPR施行後に日本企業が取り組むべき課題

IT・情報セキュリティ
大洞 健治郎

危うい日本企業のGDPR対応状況

 2018年5月25日に施行日を迎えたEU一般データ保護規則(以下「GDPR」)ですが、十分な対応ができていると言える日本企業はまだ少ないようです。

 BUSINESS LAWYERSが3~4月にかけて実施したアンケート1によると、その時点で十分に対応できている」と回答した企業はわずか1割(図1参照)。同時期にKPMGがグローバルで実施したサーベイ「The GC's Guide to GDPR」において、世界各国平均で約40~50%の主要企業が「十分に対応できている」と回答していることに比べると、日本企業の対応の遅さは際立っています。施行日直前の日経新聞報道(2018年5月24日付日本経済新聞「EUデータ新規制 100社調査」)でも「対応できている」は約2割に止まっており、おそらく施行日を過ぎた現時点(6月4日)でも、多くの企業は未だ対応を完了できていないでしょう。

貴社のGDPRへの対応状況をどう考えますか

貴社のGDPRへの対応状況をどう考えますか

図1:GDPRへの対応状況について(出典:BUSINESS LAWYERSアンケート)

 BUSINESS LAWYERSのアンケートにおいて、4月時点の対応ステータスに関する質問で最も多かった回答は「検討の予定が立っていない」(27.7%)であり、「方針検討中」(21.5%)と「未着手」(18.5%)までを合わせると、実に7割近くの企業が手を動かせていない、という結果でした。ここまで対応が遅れた理由としては、そもそも海外の規制情報を収集・分析するという機能・役割の重要性が、十分に企業内で認知されていなかったという問題があると思います。この点は、各国規制において域外適用宣言がトレンドになっていることを考えると、今後に活かすべき重要な教訓ではないでしょうか。

参考:企業に求められる多岐に渡る対応(KPMGコンサルティングの資料を元に、編集部にて作成)  

企業に求められる多岐に渡る対応

GDPR対応プロジェクトとは(PJ計画イメージ)

図2 GDPR対応プロジェクトとは(PJ計画イメージ)(KPMGコンサルティングの資料を元に、編集部にて作成)

 GDPR対応プロジェクトに重要な不備がないかどうかを点検するためのツールとして、KPMGでは「GDPR対応簡易診断ツール」 をホームページ上に公開しています。

本当にリスクはあるのか?

 また、日本企業の対応が後手に回っているその他の要因の一つとして、個人データに関連するリスクの認識が不十分という点もあげられます。多くの企業では、GDPR制定の背景ともなっている「新たな個人データの取り扱い」について、十分なリスク分析が行われていません。データマッピングは実施したものの、その実態把握については、従来の「個人データベース管理台帳」の発想から抜け出し切れていない、という企業も少なくないようです。

 たとえば、第29条作業部会が2017年6月に公表した意見書(WP249)では、職場における個人データの取り扱いに関して、以下のような様々なリスク評価を企業に要求しています。

  • 情報漏えいを防ぐために導入するDLPツール(メール送受信の自動チェック等を行うもの)やMDM(モバイル機器のリモート制御サービス)の利用
  • 働き方改革で増加するリモートワークの自宅作業用PCやBYOD(個人PCの職場持ち込み利用)のモニタリング
  • 入退室記録データの分析と評価
  • 従業員に貸与するウェアラブルデバイスのデータ管理
  • 職場における防犯カメラ映像の確認・分析
  • 社用車のGPSトラッキング
  • 宅配サービス員の写真付き名札の着用
  • 採用段階でのSNS等によるバックグランドチェック

 このような、新たな個人データの取り扱いを、法務部門がタイムリーに捕捉し、リスク評価できる態勢が整えられているでしょうか。処理の記録義務に係る台帳上において、こういったレベルでの個人データの取り扱いは認識されているでしょうか。

 今後、個人データの取り扱いをAI・ロボティクスなどに委ねることも増えてくるでしょう。GDPRでセンシティブデータに分類されている生体認証データの利用も、更に一般化するはずです。今後広まると想定されるIndustry 4.0のプル型サプライチェーンは、センサリング等で取得した個人データが、ユーザの現場から企画・製造工程まで、企業間ネットワーク上を一気通貫で流れるというデータ連携を前提としています。そういった様々な新たな個人データの取り扱いに対して、GDPRでは各企業にプライバシーバイデザイン/プライバシーバイデフォルト(Article 25)を求めています。つまり、事前にプライバシーへの影響を評価し、リスクがある場合はその低減策をあらかじめ組み込み、そのうえで取り扱いを開始しなさい、ということです。

 個人データの取り扱いに関する制裁金賦課事例といえば、報道の影響により真っ先に大規模情報漏えいをイメージされる方も多いと思いますが、実際には、目的外利用やミスリーディングな情報提供など、データ主体の意に沿わない取り扱いによるクレームや通報のケースも非常に多いのです。昔ながらの家族経営スタイルで、従業員のプロフィール(出身地や生年月日などを含む)をイントラネットに公開し、社内コミュニケーションに役立てようとしたつもりが、海外子会社の社員にはプライバシー侵害と受け止められてしまう、といったことも日本企業には起こりがちです。B to Bだからリスクがない、というようなことを言ってはいられません。

施行後に企業が取り組むべき課題は?

 GDPR施行日までに企業が取り組んできた主な事項は、データマッピング、台帳作成、域外移転に関する契約締結、データ保護責任者(Data Protection Officer、以下DPO)の任命やインシデント対応手順を含む関連方針・規程類の整備でしょう。「GDPR遵守のために、最低限の形式だけは整えておきたい」と考えたならば、まずはこういった事項が優先的に実施されているはずです。

 では、施行後に企業が取り組むべき事項は何でしょうか。もちろん、本来施行日前までに実施すべき事項が未だ完了していないのならば、その対応を最優先で実施すべきですが、すでに最低限の対応は完了済みという企業については、以下の3つのポイントが重要になると考えます。

GDPR施行前と施行後の重要ポイント

図3:施行前と施行後の重要ポイント(KPMGコンサルティングの資料を元に、編集部にて作成)

ポイント1  個人データ保護の推進部署(管理部門)におけるマネジメントシステムの確立

 DPOを任命した企業であれば、そのサポートを行うDPOチームがこの役割を担うことになるでしょう。
 具体的には、企業グループ内で新たな個人データの取り扱いが発生した場合に、その情報が現場からタイムリーに報告される仕組みを設け、報告された情報に基づく状況理解とリスク評価を行い、必要に応じ現場へのフィードバックを行う、といったプロセスです(図4参照)。

 この過程において、必要に応じ台帳や域外移転契約のメンテナンスも行い、そこで最新化された台帳に基づいて、定期的な法令遵守状況のモニタリング、データ主体からの問い合わせ対応、監督当局とのコミュニケーション等を実施します。このマネジメントサイクルを適切に設計し運営していくことこそが、管理部門における施行後対応の一番のポイントです。

個人データ保護の推進部署(管理部門)におけるマネジメントシステム

図4:個人データ保護の推進部署(管理部門)におけるマネジメントシステム(KPMGコンサルティングの資料を元に、編集部にて作成)

ポイント2 データガバナンス基盤の整理

 現場における個人データの取り扱いが法令を遵守できるものとなるよう、データ管理基盤を段階的に改善していくことも重要です。管理者や処理者にルールを守るよう繰り返し伝えても、実際にそのルールが守れるような仕組みが整っていなければ、法令違反のリスクは低減できません。

 たとえば、忘れられる権利やデータポータビリティの権利に基づいて、データ主体からデータ削除やデータ抽出・提供の要請が行われた場合、実際にその対応は適時・適切に行えるでしょうか。現在の企業では、顧客データがホストコンピュータだけに厳重に管理されているということはありません。用途に応じて、顧客データベースから二次データベース、三次データベースが切り出され、各部署でそれらを維持・活用していることが一般的です。データガバナンス基盤の一つのポイントは、データの見える化です。削除すべきデータや抽出すべきデータがどこにあるのか、すぐに把握できる管理の仕組みが必要ということです。

 セキュリティインシデントが発生した際に、当該システム上にどの国の在住者データが含まれているのか、またそのボリュームについて、すぐにわかるようになっているでしょうか。GDPRではセキュリティインシデントの発生から72時間以内の当局報告が求められていますが、他国の法令でも同様にタイムフレームを指定した報告義務が課されるようになってきており、企業内のどこでどういったデータが取り扱われているのかをきっちり把握できる仕組みがますます求められるようになってきています。

 このように、実際にルールを守るために必要となる現場でのデータガバナンス基盤の構築が、今後更に複雑化・高度化する個人データの取扱いを管理していくためにはどうしても必要になります。  

ポイント3 ITセキュリティ基盤の整理

 ほとんどの個人データの取り扱いがITシステム上で行われている現在、ITセキュリティの継続的なレビューと高度化も今後の重要な課題となります。データ主体への情報提供、同意の取得、個人データの入力から保存、利用、廃棄、更には問い合わせ対応に至るまで、ほとんどがインターネット上で行われる時代です。従来のように、企業の奥深くに鎮座している個人データベースのアクセス権さえ厳重に管理していればOKというわけにはいかないのです。

 前述の「職場における従業員データの取り扱い例」をご覧いただいても、モバイル機器やIoTデバイス、リモート環境での作業用ワークステーションなど、個人データの遍在する様々なITシステム上で、適切なセキュリティ基盤を用意していかなければならないことは明白であると思います。企業グループ内での個人データの取り扱い状況を随時把握すると同時に、その取扱いに関連するIT技術の利用とセキュリティ基盤をレビュー・点検し、必要となる改善を重ねていくことが重要です

今後特に重要になるデータ保護影響評価(DPIA)

 これまで述べてきたように、施行後に重要となるポイントは以下の3点です。

  1. 管理部門におけるマネジメントシステムの設計
  2. 実際にデータを取り扱う現場におけるデータガバナンス基盤の整備
  3. ITインフラにおけるセキュリティ基盤の高度化

 中でも、マネジメントシステムの設計、とりわけデータ保護影響評価の仕組みが重要です。
 データ保護影響評価のためには、新たな個人データの取扱いを管理部門でキャッチする仕組みが必要となり、その仕組みはそもそもマネジメントシステムの中核プロセスとなるものであることと、リスクの高い個人データの取扱いにおいて必要となるデータガバナンス基盤やセキュリティ基盤は、このリスク評価の結果として明確化されるものであり、つまるところ、データ保護影響評価はすべてに通じる個人データ管理の要点となっているからです。

 もちろん、GDPR施行後に検討すべき課題は他にもたくさんあります。日本の個人情報保護委員会が公表した十分性認定に係るガイドライン(日EU間の個人データ規制上の主要差異5項目について、EU側に合わせた対応を行うよう企業に求めるもの)への対応について検討することも必要でしょう。また、欧州委員会では、Brexit後に英国がEUの十分性認定をすぐに受けられない可能性について示唆していますので(EUROPEAN COMMISSION:Notice to stakeholders: withdrawal of the United Kingdom and EU rules in the field of data protection)、英国拠点を欧州事業のハブとしている日本企業は、その影響を今から考えておく必要もあるかもしれません。このほか、e-Privacy法や中国サイバーセキュリティ法、各国データローカライゼーション規制など、検討を行うべき各国の関連法令対応も山積しています。

 しかしながら、おそらく今最も重要なことは、近年個人データの取扱い形態が急激に変化している中で、個人データについての概念や、個人データ管理の考え方自体をそもそも見直さなければならない時期にきている、ということではないかと思います。従来の管理台帳には記載されなかったような新たな形態の個人データの取扱いも、今後は確実に把握し、適切にリスクを評価して、必要な対応をタイムリーに指示していかなければなりません。

 今後ますます高度化するデジタル社会の中で、プライバシー管理の問題は最も重要な経営課題の一つになってくるでしょう。個人データ管理に係る企業法務の役割は大きく、GDPR対応を契機として、これらの様々な問題に取り組み、管理態勢の見直し・高度化を推進して頂くことが求められています。


  1. 実施期間:2018年3月20日〜2018年4月10日(火)12時(正午)
    対象:BUSINESS LAWYERS読者
    回答数:65件
    調査方法:BUSINESS LAWYERS内での調査・回答 ↩︎

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する