GDPRセミナー 日本企業の実態 ~グローバル調査結果と先進日本企業の事例紹介~

2018-04-09

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

2018年5月25日に施行される「EU一般データ保護規則(General Data Protection Regulation:以下、GDPR)」。この規則では、企業に個人データを保護するための取り組みが求められます。また、個人データに対する侵害発生時には、72時間以内の監督機関への届け出が義務付けられ、違反には高額な制裁金が科せられます。このような中、PwCは2017年11月21日にセミナーを開催し、GDPR対応に必要な取り組みについて解説するとともに、ヤマハ発動機株式会社(以下、ヤマハ発動機)から講師をお招きし、同社におけるGDPR対応についてご説明いただきました。本稿では、このセミナーの内容について紹介します。

日本企業の多くはGDPR対応が遅れ気味

PwCでは2017年6月、欧州・米国・日本の大手企業を対象にGDPR対応状況調査を実施しました。調査結果によれば、各国のほとんどの企業が、GDPR対応は重要課題だと回答しているものの、対応の進捗状況を見ると、日本は全体的に遅れ気味であることが明らかになっています。地理的な距離もあり、自社が影響を受ける範囲やリスクを把握しきれていないことが原因ではないかと推察されます。

調査結果を見ると、GDPR対応の主幹部門としては、IT部門が主体で動いている企業が多いのが現状です。しかし、GDPRはシステムの対応だけで解決できる課題ではありません。IT部門とコンプライアンス部門が協働して進める必要があるのはむろん、GDPRの条文解釈のため、法務部門の関与も重要です。

なおGDPRに対応する作業が5月の施行までに終わらない場合、アセスメントをきちんと行い、対応が完了するゴールまでの計画を描いておくことがカギとなります。自社だけで対応を進めることが難しい場合には、GDPR対応に長けたコンサルタントやパートナーに協力を仰ぐことも有効です。

ヤマハ発動機のGDPR対応事例

ヤマハ発動機 総務部 企画管理グループ グループリーダーの牧野 敬一朗氏によれば、同社がGDPR対応の必要性を感じ始めたのは、2016年の秋ごろのことです。もともと本社側では日本の個人情報保護法に対応した体制を整えていたものの、海外の子会社では情報保護体制が不十分な組織もあり、インシデント発生によるグループへの影響を避けるため、GDPRへの対応を加速させたといいます。

ヤマハ発動機では、GDPR対応を3つのステップに分け、取り組みを進めています。

  • ステップ1:調査
  • ステップ2:整備
  • ステップ3:運用準備

ヤマハ発動機株式会社 総務部 牧野 敬一朗 氏

牧野氏は、GDPR対応に向けた全ての子会社の個人データの扱いの調査が非常に大変だったと語ります。「調査範囲が全世界に広がったこともありますが、グローバルに展開しているPwCと共同で取り組むことで、効率的に進めることができました」と、外部パートナーとの連携が負荷軽減に役立ったと述べています。また調査を円滑に進めるための回答フォーマットの工夫をはじめ、子会社側の負荷を減らす配慮などの地道な取り組みの重要性についても言及されています。

ヤマハ発動機では、GDPRのガイドラインと照らし合わせながら調査を進めていく中で、想定外のルールや必要な対応が見つかったといいます。例えば、「製品の識別番号(シリアルナンバー)が個人データにひもづくため、製品を登録した段階でシリアルナンバーも個人データとして扱う必要がある」ことが判明し、そのためシリアルナンバーに関与するシステムの改変や対応が生じたそうです。牧野氏は、今後、収集してきた個人データをどのように取り扱うべきかが検討課題だと述べています。

「GDPRは難解ですが、重要なことが書かれています。内容を把握した上で、そこからリーズナブルな解をコンサルタントとともに導き出し、対応を進めていきました。これからお客さまへの通知・同意などの整理・対応、システム改修やセキュリティ基盤の強化など、優先順位をつけてさらに対応を進めていく予定です」。

牧野氏は、最後に、GDPR対応の心構えとして5つのポイントを挙げています。

  1. 対応に労力を要する
  2. 施行日までに100%の領域で100点は取れない
  3. 本人からの同意取得は、業務プロセスの変更になり得る
  4. GDPRの趣旨~基本的人権・プライバシーの保護~を常に念頭に置く
  5. コンサルタントや弁護士に振り回されないように

PwCコンサルティング合同会社 松浦 大

いま必要なGDPR対応のポイント

GDPR対応のポイントについて、PwCコンサルティングの松浦 大が解説しました。

GDPRでは、「インシデント発生後、72時間以内に監督機関に届け出ること」と定められています。多くの日本企業ではサイバーセキュリティ対策を強化していますが、インシデント発生後72時間の対応をどう進めるかについての方針は定めていない企業が多いのが現状です。松浦は、インシデントを検知できる仕組みの有無や対応ルールの策定について、「高リスク事業を抽出し、先行してGDPR対応の完遂を目指すことが望ましい」と述べています。「5月25日までに全てのGDPR対応を完了することは無理だと諦めている企業は多いかもしれません。しかし諦めるのではなく、対応できていないことで高いリスクが発生する要素を洗い出し、優先順位をつけて取り組むことが望ましいと考えます」

GDPR対応では、透明性の確保と適合性への対応が求められます。個人データ管理業務の流れと責任を明確にし、データ主体の権利を保護することができる管理体制が必要となります。松浦は、「取り扱う個人データの特性に応じて、システム対応の優先順位を定義する必要があります。「改修」よりも「運用」を重視すべきです。説明できる計画を立てて、焦らずに進めていけば良いのです」と述べ、セミナーを締めくくりました。

主要メンバー

山本 直樹

PwCコンサルティング合同会社 パートナー, 東京, PwC Japan

Email

岸 泰弘

PwCあらた有限責任監査法人 パートナー, 東京

Email

松浦 大

PwCコンサルティング合同会社 マネージャー, 東京, PwC Japan

Email

関連情報