欧州で2018年5月に施行される個人情報保護法「GDPR」。その対策を支援すべく、インターネットイニシアティブ(IIJ)はコンサルティングやアウトソーシングのサービスを新たに発表した。
GDPRは欧州企業だけでなく、欧州でビジネスを展開する日本企業もターゲットとした法律だ。IIJが提供するサービスからは、意外なほど多くの日本企業に影響が及ぶ可能性が見えてきた。
GDPR対策ができている日本企業は1割程度
日本では「EU一般データ保護規制」と訳されるGDPR(General Data Protection Regulation)は、欧州に在住する個人データの処理と移転に関する法律だ。EU28カ国とアイスランド、リヒテンシュタイン、ノルウェーを含むEEA(欧州経済領域)諸国において5月25日に施行される。
IIJによれば、EEA内に拠点があるかどうかに関わらず、EEA市民の個人データを扱う海外企業も法律の適用対象になるという。違反時の制裁金は世界売上の4%または2000万ユーロ(約26億円)のうち高いほうと、かなり厳しい。
たとえばEEA在住者の個人データを取得してメールマガジンを送付する場合、自社で行う場合は組織的・技術的な対策が、外注する場合は業者との間で適切な契約を結ぶ必要があるという。
果たして日本企業の対策は進んでいるのだろうか。IIJのセミナーアンケートからは、対応が進んでいるのは全体の1割程度にとどまると小川氏は推測する。これに対してIIJは、GDPR対策を「ほぼ丸投げできる」コンサルティングサービスを提供してきた。
だが、GDPR対策の予算によっては自社で対策を進めていかざるを得ない。これを支援する新サービスが「コンプライアンスプラットフォーム for GDPR」だ。GDPR対策が難しいとされる理由の1つに、複雑に入り組んだ構造の条文が挙げられるが、IIJはこれを自動化することで扱いやすくしたという。