IIJが解説、なぜ日本でGDPR対策が進まないのか

IIJが、GDPR（一般データ保護規制）対応に向けた新しいプラットフォームサービスやコンサルティングサービスを発表、3月19日から順次提供を開始する。

GDPRへの対応が済んでいる日本企業は非常に少ない

　インターネットイニシアティブ（IIJ）は、2018年3月19日、EU（欧州連合）圏で2018年5月25日から施行される「一般データ保護規制」（GDPR：General Data Protection Regulation）への対応を支援するサービスを発表、3月19日から順次提供を始める。

　同社は従来、GDPRに関する最新情報の提供や対応サービスを展開していたが、さらなる支援策として企業における現在の取り組み状況を把握するための「GDPR適合簡易アセスメント」を3月19日から、GDPR対応を自社で進めていくために必要な機能を備えた支援ツール「IIJ コンプライアンスプラットフォーム for GDPR」を3月26日から、コンサルティングサービスの「IIJ DPOアウトソーシングサービス」を4月9日より提供開始する。

IIJが新たに提供するGDPR支援サービスの一覧

　発表会で同社 経営企画本部 ビジネスリスクコンサルティング部長 小川晋平氏は「IIJは2016年1月からGDPRへの対応を進めているが、まだ完了していないのが現状だ。このように手間と時間がかかるGDPRへの対応だが、当社のGDPRセミナーに参加した410社にアンケート調査を行ったところ、GDPRへの対応状況は90％の企業で進ちょく率が50％未満、72％の企業で進ちょく率が30％未満とかなり低い状況だった。比例計算をすると、欧州に進出している日本企業約2600社のうち、全体の1割にも満たない222社しか対応ができていない計算になる。GDPRは、EEA（欧州経済域）でビジネスをする日本企業ほぼ全てが対象となる法律で、もし違反した場合は2000万ユーロ以下か、全世界の年間売上高の4％以下のいずれか高い額が上限となる巨額の制裁金が課せられる可能性がある」と指摘。

IIJ 経営企画本部 ビジネスリスクコンサルティング部長 小川晋平氏

GDPRへの対応に必要となるプロセス

　小川氏は「当社は2017年7月に会員制の『IIJ ビジネスリスクマネジメントポータル』を立ち上げ、GDPRのガイドラインや最新ニュースを提供してきたが、そこに無料で使える『GDPR適合簡易アセスメント』を追加する。25問の質問に答えるだけで自社の取り組み状況をアセスメントできるのが特徴で、無料会員でもレーダーチャートによる簡易レポートが使え、有料会員ならば項目ごとの推奨対応がコメント表示される」と説明する。

会員登録すれば無料で使える「GDPR適合簡易アセスメント」の特徴。「IIJ ビジネスリスクマネジメントポータル」の会員は800社を超えるという

面倒なGDPR対応をさまざまなサービスで支援

　英「Digital Control Room」との協業で提供されるサービスが「IIJ コンプライアンスプラットフォーム for GDPR」で、グローバルで一元管理が可能なGDPR対応支援SaaSとなる。プロジェクト管理やワークフローがグラフィカルな画面で容易に行え、必要な質問が自動的に出てきたり、テンプレートが充実したりしているほか、監督機関への説明に必要なレポート生成機能も備えているのが特徴だ。

「IIJ コンプライアンスプラットフォーム for GDPR」の画面イメージ

弁護士やコンサルタントなどにレビューをしてもらうことも可能だ

IIJ コンプライアンスプラットフォーム for GDPRの利用料金。IIJ ビジネスリスクマネジメントポータルのアドバンスト会員（月額1万5000円）なら、特別値引きが適用される

　一方、フルコンサルティングサービスとして新たに登場したのが「IIJ DPOアウトソーシングサービス」だ。小川氏は「データ保護責任者のDPO（Data Protection Officer）は権限が非常に大きく、監督機関との窓口になるといったように、万が一敵に回ると非常に怖い（制裁金が最大2％課せられるなど）存在だ。仮にDPOが業務をサボった場合でもDPOは責任を追わず、管理者が責任を負う形になるため、本当に信用できる人を選ぶ必要があり、利益相反の制約で適任者が不足している」と課題を指摘する。

DPO（Data Protection Officer）の専任義務。特に37条第4項に該当する大企業は多いと思われるので、DPOは選任したほうが無難だという

DPOの要件を考えると、なり手が不足しているのが現状だという

　「欧州の人員ではなかなか見当たらないのが日本企業にとって頭が痛い悩みであり、それを解消すべく、恐らく日本で初となるDPOのアウトソーシングサービスを提供する。サービス内容は、初期準備（スタートアップ）に始まり、監査などの定常業務と監督機関への連絡など非定常業務を含めた運用に加え、EUの公用24言語をカバーするといった問い合わせ対応も含まれる。先述のIIJ コンプライアンスプラットフォーム for GDPRの利用が前提だが、できるだけコストを抑えて、自社で運用できるようなサービスを提供しているのでぜひGDPRへの対応とともに検討を進めてほしい」（小川氏）

「IIJ DPOアウトソーシングサービス」の特徴

初期準備（スタートアップ）の費用

運用業務の費用

　初年度の目標は、コンプライアンスプラットフォーム for GDPRが50社、DPOアウトソーシングサービスが25社とのことだが、後者はDPOのなり手が少なく、人材を育てながらの運用になるという。

　また、小川氏は「当社の場合、ガイドラインの策定を待つなどGDPR対応に時間がかかってしまった。新サービスを使えば、EU側と日本側でしっかり体制を作ってもらうのが前提になるが、1カ月程度で対応が済む可能性もある。5月25日の施行後すぐに何かが起きる可能性は非常に低いが、何も対策を進めていない場合はひどい目に遭う。必要となるドキュメントが作れてさえいれば、優先順位をつけて動くことで何とかなるので、まずは説明責任を果たせるところまで進めてほしい」と訴えた。