インターネットイニシアティブ(以下、IIJ)は7月10日、EUの新たな個人情報保護の枠組みを規定した「一般データ保護規則(GDPR:General Data Protection Regulation)」への対応支援サービスとして、欧州でビジネスを展開する日系企業向けポータルサイト「IIJビジネスリスクマネジメントポータル」を同日開設すると発表した。

同サイトは、GDPRガイドラインや関連ニュースの開設、セミナー情報などを提供するというもの。顧客の要望に応じて、コンサルティングからITソリューションの提案・導入までの総合的なサポートサービスを提供する。

記者説明会に登壇したIIJ 経営企画本部 ビジネスリスクコンサルティング部長 小川晋平氏は、日本企業のGDPR対応状況について俯瞰するとともに、新ポータルサイトの狙いについて語った。

自力でやるしかない!? - 日本企業のGDPR対応状況

2018年5月25日から施行されるGDPRは、EUにおける個人データの処理、およびEU域内から第三国に個人データを移転するにあたって満たすべき法的要件を規定したEU法である。

「GDPRの大変なところは、違反があった場合の制裁金の額が尋常ではないことです。全世界売上の4%以下、もしくは2,000万ユーロ以下のいずれか高い金額を上限とする多額の制裁金を課せられる可能性があります」(小川氏)

IIJ 経営企画本部 ビジネスリスクコンサルティング部長 小川晋平氏

GDPRへの対応を怠ることで生じ得る経営上の主なリスクとしては、この制裁金のリスクに加え、ブランド毀損のリスク、取締役の善管注意義務違反による株主代表訴訟リスクの3点が挙げられる。これを回避するには、経営陣がリスクを正しく認識することが不可欠だ。

では、日本企業の対応状況はどうなっているのだろうか。

IIJビジネスリスクコンサルティング部が125社に対して行った調査によると、全社プロジェクト体制を構築済みの企業は全体の2割強となっており、部門レベルでの対応に留まっている企業がほとんどだという。

IIJグループにおけるGDPRの引き合い総数に対する比率(2017年6月30日現在/母数125):IIJビジネスコンサルティング部調べ

「現場ではリスクを認識していても、いろいろな理由があってうまく対応が進んでいないというのが実情です。例えば、『言い出しっぺがやれ』と言われるのが目に見えているけれど、今抱えている仕事が多いので言い出しづらいとか、『会社としては今、アジアを重視しているので、欧州の現地法人の声が経営陣まで届かない』といった具合です」と小川氏は説明する。

そして、いざやろうと思ってGDPRの本文を読んでみても「何をやればいいのか全くわからない、非常にわかりにくい法律」(小川氏)なのだという。実施すべき内容を把握するにはEUのデータ保護指令第29条作業部会(Article 29 Working Party)が提供する250余りの関連文書を読むことになるのだが、情報は全て英語、もしくは現地語で書かれているため、それもハードルの1つとなる。

「ならば、コンサルティング会社や弁護士事務所にサポートしてもらおうと見積もりを取ると、(フルサービスで依頼する場合)とても決済が下りないような大きな金額になり、プロジェクト自体がスタックしてしまうケースもあります。ボトムアップで進めるには、限界があるのが実情です」(小川氏)

仮に予算面はクリアできたとしても、法律とITと英語の全てに精通し、GDPRに対応できるコンサルタントや弁護士の数には限りがある。「欧州に進出している日本法人全てを来年の5月までにフォローするのは難しいと思います。そのため、基本的には自社で対応していくしかないでしょう」というのが小川氏の見解だ。