IIJ 経営企画本部 ビジネスリスクコンサルティング部長 小川晋平氏

インターネットイニシアティブ(IIJ)は3月19日、EUの個人情報保護の枠組みを規定した「一般データ保護規制(GDPR)」への対応を支援するツールとサービスを提供すると発表した。

説明会では、同社のGDPR対応にも関わっている経営企画本部 ビジネスリスクコンサルティング部長の小川晋平氏が説明を行った。

小川氏は、同社が行った調査結果を引き合いに出し、日本企業において、GDPRの対応があまり進んでいないことがうかがえることを示した。同社が開催したGDPR対応セミナーでアンケートに回答した企業410社のうち、「GDPRを管掌する役員を任命している企業」は35社、「全社関連部署を巻き込んだプロジェクトチームを作って動いている企業」は76社だったという。進捗状況についても、「0%~10%」という企業が121社、「11%~30%」という企業が173社となっている。

小川氏は、GDPR対応において最も重要なこととして、監督機関に説明できる準備を挙げた。それに取り組むプロセスとしては、現状調査と説明責任を果たす文書を作成し、対応計画を策定し、対策を実施していくことになる。対策は、法律面とIT面の2種類に分類でき、IIJはIT面での対策を支援する。

  • GDPRの対応に必要なプロセス

IIJはこれまでもGDPRの対応を支援するサービスを提供してきたが、今回、「GDPR適合簡易アセスメント」「IIJコンプライアンスプラットフォーム for GDPR」「IIJ DPOアウトソーシングサービス」の提供を開始する。

  • 拡充されたIIJのGDPR対応関連のサービスのポートフォリオ

GDPR適合簡易アセスメント

GDPR適合簡易アセスメントは、IIJビジネスリスクマネジメントポータルのオプション機能として提供される。GDPR対応に関する5カテゴリー25問の質問に回答することにより、自社の取り組み状況をアセスメントすることができる。日本企業全体の平均値と自社の対応状況をレーダーチャートで比較することが可能。

GDPR適合簡易アセスメントの利用料金は無料だが、IIJビジネスリスクマネジメントポータルの有料会員の場合、経営陣に向けて活用できる詳細なレポートの表示とデータのダウンロードが可能。無料会員は簡易レポートが提供される。

  • 有料会員向けの「GDPR適合簡易アセスメント」のレポートの例

IIJコンプライアンスプラットフォーム for GDPR

IIJコンプライアンスプラットフォーム for GDPRは、グローバルで一元管理できるGDPR対応支援のSaaS。自社のGDPR遵守状況と対応進捗を可視化するとともに、経営陣や監督機関への報告レポートを自動生成する機能を提供する。

同プラットフォームに個人情報を取り扱う社内システムを登録するだけで、ガイダンスに従って作業を進めていくことが可能。同プラットフォームは英国のDigital Control Roomとの協業により提供するもので、3月26日から提供を開始する。

具体的な機能としては、「セルフアセスメントを支援する自動質問機能」「プロジェクト管理」「ワークフロー」「世界各国の担当者がするべきことがわかるダッシュボード」「全体の進捗が一目でわかるグラフィカルな管理機能」を提供する。

  • 「IIJコンプライアンスプラットフォーム for GDPR」の価格

IIJ DPOアウトソーシングサービス

GDPRでは、「公的機関による処理」「主業務が大規模にデータ主体を定常的、系統的に監視する場合」「主業務が特別カテゴリーや犯罪記録に関するデータを大規模に処理する場合」「各国法やEU法で別途定められる場合」に、DPO(データ保護責任者)の選任を義務付けている。

ただし、DPOはデータ保護責任者として高い独立性と権限が付与されることから、個人情報の取り扱いに関連する部署の役職者が兼務することは認められず、その結果、社内から適任者を選任することが困難となっているという。こうした背景の下、顧客からの要請を受けて、IIJ DPOアウトソーシングサービスを提供することになったという。

  • 社内でDPOを選任することが難しい理由

同サービスでは、DPOを業務委託として提供する。同サービスのメニューは、スタートアップ(初期準備)とオペレーション(運用)から構成される。監督機関との窓口として、同社を開示することができる。

前者では、企業がGDPR対応のために用意した書類を基に、DPOチームの構成、DPOチームとしての年次計画、週次、月次の定常確認事項など、運営計画とタスクを整理・決定する。

後者では、運用業務として、「各部門・拠点におけるプライバシー保護状況の監視・対応報告と是正策のアドバイス「個人データ取り扱い拠点の現地監査・是正アドバイス」「4半期ごとの経営陣への報告」「データ主体(従業員含む)からの問い合わせ対応」などを行う。

データ主体からの問い合わせには、EU公用24言語で24時間365日電子メールで対応する。

  • IIJ DPOアウトソーシングサービスの内容

  • IIJ DPOアウトソーシングサービスの価格

小川氏は、同社では2016年11月から、GDPRへの対応を始めたが、現時点で完了しておらず「簡単に終わるものではない」と語った。なお、GDPRが施行される5月には、監督機関に説明責任を果たせる状態に持っていくという。