GDPR適用対象の日本企業は何をするべきか - IT部門が取りうるアプローチとは?

プライバシー保護は世界的に変化の時期に差しかかっている。本稿では、7月12日～14日にかけて開催された「ガートナー セキュリティ&リスク・マネジメントサミット」に登壇したガートナー リサーチ マネージングバイスプレジデント カーステン・キャスパー氏の講演「EU一般データ保護規則 (GDPR) が及ぼす影響とは」の内容を基に、欧州と取引のある日本企業のIT部門が、どのように対応を進めるべきかについて考察する。

世界の企業がGDPRに注目する理由

EUの個人データ保護規則である「GDPR（General Data Protection Regulation）」は、99の条項から成り、2018年5月25日に施行開始が予定されている。キャスパー氏は、「GDPRの『G』は『General』ではなく、『Global』ではないかという意見もあります」と紹介し、この規制の適用範囲がEU域内だけに留まるものではないことを示した。

ガートナー リサーチ マネージングバイスプレジデント カーステン・キャスパー氏

GDPRの対象は「EUでビジネスを行う企業」であり、企業や事業所の所在地がEUにあるか否かを問わない。EU市民に対して製品やサービスを販売する場合はもちろん、EU市民をターゲットに多言語でWebサイトを運営している場合もEUに対してビジネスを行っていると見なされ、GDPRの対象になるのだ。

キャスパー氏によれば、EUだけでなく米国や日本の企業がGDPRに関心を示す最大の理由はその違反金の高額さにある。違反した場合、その企業の全世界における年間売上高の2％あるいは1,000万ユーロが課せられ、再犯の場合はさらに増加する。2017年7月現在、残された期間は10カ月だが、キャスパー氏は「適切な準備をすれば十分対応できます」という。

GDPRが及ぼす影響/出典：ガートナー（2017年7月）

GDPRで保護の対象となるのは、名前や住所、電話番号、メールアドレス、誕生日など、あらゆる種類の個人データである。そして、個人データの管理者は、その取得時に処理目的について本人の明確な同意を得ることが必要だ。また、処理目的に制限のある同意を得た場合は、その制限に従わなくてはならない。

では、限られた時間のなかで、GDPRが定める要件に対応するにはどうすればよいのだろうか。