「説明責任」を果たすことが最優先

では、ポイントを押さえたGDPR対応を進めるには、どうしたらよいのだろうか。小川氏は、GDPRへの対応として、最小限やらなければならないこととして、「説明責任」を果たすことを挙げる。

つまり、GDPRが施行された後、EU各国の監督機関からデータの利用状況や管理について聞かれた場合、自社の状況を回答できる状況にしておく必要があるというわけだ。

小川氏は、「仮にGDPRの対応のうち、リスクベースト・アプローチが許されるIT対応がすべて完了していなかったとしても、説明責任が果たせれば、いきなり制裁金が課されるということはないと思います」と予想する。

説明責任を果たすために、自社の状況をきちんと把握しておかなければならない。

そこで、プロジェクトチームを作るところから始める。企業規模によるが、売上1兆円規模の企業ならグローバルレベルで事務局に20人ぐらいは必要となるそうだ。続いて、各拠点に、データの利用状況を調査するための質問票を配布して回答してもらう。小川氏は、「質問票の回収をいかに効率よく回すかがポイント」と話す。

現場の人間からすると、突然、質問票が配られて〇月〇日までに回答してくださいと言われても困惑するし、「本業に支障を来して迷惑」と思われてしまう可能性もある。

小川氏は、「質問票の回答作業は、現場に負担がかかります。そのため、まずは各拠点のトップにGDPRに対応することの必要性を理解してもらい、できれば、役員クラスを責任者に選んでもらうといいでしょう。トップから責任者に指示を出し、責任者からさらに現場に対し、理解を取り付けてもらいます。こうすることで、現場で起こり得る不満を事前に抑えることができます」と、アドバイスする。

また、質問票に関しては、人によって回答の粒度が異なるという課題もあるという。IIJでは、その対策として、各拠点で質問票を回答してもらう前にワークショップを開催したそうだ。

Excelではもう限界、クラウドサービスの利用で時間短縮を

さらに、小川氏はExcelファイルでデータ管理を行う上での課題を指摘する。日本企業ではデータを管理する手段として、Excelファイルが頻繁に利用されている。質問項目が書かれたExcelファイルが配布され、「これに回答を記入して、メールで送ってください」なんて風景は日常茶飯事だろう。

IIJでは、Excelファイルでデータを収集して、集計・管理することの煩雑さを回避するため、クラウドサービスを利用した。ブラウザベースのフォームで入力してもらい、入力データはデータベースで管理する。これにより、事務局の負担が格段に減ったという。数字にすると、「Excelファイルをばらまいてデータを収集する場合に比べ、クラウドサービスを利用したことで、所要時間は半分で済みました。事務局の人数を20人から5人に減らすことも可能だと思います。GDPRへの対応はコストを生む活動ではないからこそ、コストはできるだけ抑えたいもの」と、小川氏は話す。

自社の経験を踏まえ、かつ、顧客からの要望に応えるため、IIJはSaaS「IIJコンプライアンスプラットフォーム for GDPR」を提供している。同サービスは、自社のGDPR対応の状況を把握できるセルフアセスメント、個人データの処理状況の管理といった機能を提供する。データはグローバルで一元管理でき、世界各国の担当者がやるべきことがわかるダッシュボードも利用できる。

自社が抱える個人データを把握しておくことはリスク管理の観点から重要だが、ビジネスにおけるデータ活用を進める上でも有用と言える。これからGDPRの対応に取り組む企業は、先行企業のノウハウを活用できるというアドバンテージを生かしつつ、プロジェクトを進めていかれてはいかがだろうか。