EU在住者のプライバシーを保護する規制「一般データ保護規則(General Data Protection Regulation:GDPR:GDPR)」が5月からスタートする。日本企業であっても、EU在住者に商品やサービスを提供している場合、GDPRが適用される。
EUではこれまでも「EUデータ保護指令」を施行することで、EU在住者の個人データの保護を図ってきたが、GDPRではデータ漏洩時の罰則、データの保存に関する規制などが厳しくなっている。そのため、規制対象の企業は、GDPRをきちんと理解して対応することが求められる。さもなければ、データを漏洩させてしまった時に迅速に対処できず、最大2000万ユーロもしくは売上高4%の罰金を支払わなければならなくなるおそれがある。
本稿では、GDPRへの対応がまもなく完了するIIJの取り組みについて、苦労した点なども含めて時系列で紹介することで、これからGDPRへの対応を進める企業に役立つ情報を整理してみたい。
異例のスピードで可決したGDPR
IIJでGDPR関連のプロジェクトを統括しているのが、ビジネスリスクコンサルティング部長を務める小川晋平氏だ。同氏は、同社のクラウドサービス「IIJ GIO」の海外展開を進める中、EUの法規制を調べた際にGDPRの存在を知ったそうだ。
-
IIJ ビジネスリスクコンサルティング部長 小川晋平氏
GDPRの観点からクラウドサービスを見た場合、顧客企業は「管理者」となり、同社は「処理者」となる。クラウドサービスからデータが漏洩した際、処理者は一時的に管理者の責任を負う。
「われわれのクラウドサービスは、他のパブリッククラウド・サービスと異なり、企業のプライベートクラウドをターゲットとしています。そのため、安心して利用できるクラウドサービスとして、企業に選んでもらうために、『GDPRの適切な処理者』であることを証明する必要がありました」と小川氏は語る。
GDPRのファースト・ドラフトが2012年に出たことから、小川氏はこれまでの法規制の流れを踏まえ、「可決するまでに、あと7、8年はかかるな」と、多少の余裕を感じていたという。ところが、2015年12月にファイナル・ドラフトが出て、GDPRは異例のスピードで2016年4月に可決してしまい、同社においても急ピッチで作業が進められることとなった。
2016年にプロジェクトチームを結成し、稼働開始
小川氏は2014年から2017年にかけて、IIJ Europeのディレクターに就き、イギリスにおけるビジネスを統括してきた。そして、現地でのビジネスや情報収集に基づく判断の下、2016年1月に日本へ戻り、社長にGDPRへの対応に取り組むべきであることを進言したそうだ。
その結果、社長の号令の下、コンプライアンス担当者、IIJ Europeの担当者、危機管理の担当者など、関係者によるプロジェクトチームが立ち上がった。
プロジェクトチームが初めに行ったのは、GDPRを正しく理解することだ。GDPRは関連文書を含めると2000ページという膨大な量に及んでおり、手分けして作業を進めていった。
慎重に対応方針を決めていく中、2016年4月には、データ移転規制への対策として、同社グループ全体でデータ保護に関するルールを文書化し「拘束的企業準則(Binding Corporate Rules:BCR)」の承認を得ることが決定した。
BCR承認に向けて、5月にコンペを実施、6月にRFPを作成、7月に弁護士事務所を決定、10月に英国の監督機関である「Information Commissioner’s Office(ICO)」にBCRの申請をしたという。
小川氏によると、まもなく同社のGDPR対応は終わるそうだ。同社のGDPR対応は2年弱かかったことになるが、ポイントを押さえることで、「中堅クラスの企業であれば2カ月、売上1兆円クラスの企業であれば、6カ月程度で最小限の対応は可能」と、同氏は話す。
-
GDPRにおける個人データのライフサイクルと遵守項目資料:IIJ
業務フローを変革し働き方まで刷新した富山県立中央病院、その手法とは
