EUで「GDPR(General Data Protection Regulation:一般データ保護規則)」が施行されて5年以上経つが、これまでGoogle、Meta、Amazonなど米国のプラットフォーマーは軒並みGDPRに違反としたとして、多額の制裁金を課せられている。
しかし、グローバル化やDX推進を標榜する日本企業にとっても、データ保護やプライバシー保護は重要な課題の一つである。自社にとって適切な形でデータ保護を実践するには、何が必要なのか。
そこで、日本DPO協会 理事の小川晋平氏、杉本武重氏、大門学氏に、日本企業におけるデータ保護の実態、データ保護のアプローチ、同協会が推進している資格認定制度などについて聞いた。
DPOはData Protection Officer(データ保護オフィサー)の略で、GDPRでは、個人データを取り扱う事業者が関連するデータ保護法制に遵守することを確かにする役割と定義されている。
同協会は、欧州のGDPRをはじめとした世界各国のプライバシー・データ保護法の制改定、運用の動向に関する情報収集・分析、実務・専門知識の習得・普及およびデータ・インシデント事例の研究などを通じて、プライバシー・データ保護の中核を担うDPOや事業者における個人データ保護の責任者であるCPO(Chief Privacy Officer 最高プライバシー保護責任者)などになりうる専門家を育成することをめざしている。
プライバシー保護の実務ができる人材が不足している日本
GDPRが可決された2016年、小川氏はディレクターとしてIIJヨーロッパを率いていた。IIJはクラウドサービスを提供しているため、大量の個人データを保有している。そのため、小川氏は弁護士である杉本氏の支援を得て、GDPRの対応を進めたそうだ。
小川氏は自社で対応した経験を基に、日本企業のGDPR対応を支援してきたが、「GDPRへの対応が完了しても、その後も運用を回していかないといけません。しかし、日本には継続的にプライバシー保護の実務をできる人材が圧倒的に不足しています。こうした人材を育成していかなければいけないと感じました」と当時を振り返る。
「消費者にイヤな思いをさせないように、ビジネスを進める。これができる人を育てないと日本企業は信用を失い、結果として、日本自体の信頼も失われることになります」(小川氏)
その後、小川氏は日本に帰国。各国にDPO協会があることから、小川氏は杉本氏と共に、日本にも同様の機関を作って、各国の協会、政府、企業とやり取りすることをめざした。