GDPR施行まで1年を切り、多くの企業が違反に対する不安を感じていながら、十分な対策を行っていない現状が、情報管理ソリューションを提供するベリタステクノロジーズの調査によって明らかになった。これを踏まえ、企業経営者はGDPRを契機にどのように対応すべきか。同社の常務執行役員兼エンタープライズSE部部長、髙井隆太氏に伺った。

GDPR対応が済んでいる
日本企業は19%に留まる

髙井隆太
ベリタステクノロジーズ
CISSP
テクノロジーセールス&サービス本部
常務執行役員
兼エンタープライズSE部部長

 ベリタステクノロジーズ(以下・ベリタス)が2017年2月から3月にかけて、ヨーロッパ、アメリカ、アジア太平洋地域で900人を超えるビジネスの意思決定者を対象に行った調査によると、「自分の組織はすでにGDPRの準備はできている」と回答した企業は、世界では31%、日本は19%に留まった。さらに、世界の47%の企業が「施行日までに対応することは難しい」と考えており、特に日本企業では、その割合が63%に上るなど、対応の遅れが浮き彫りになった。

 「EMEA(ヨーロッパ・中東・アフリカ)の企業に比べて、日本企業はGDPRに対する関心度は低いと言わざるを得ません。たとえ本社が日本にあっても、EU域内で事業を展開し、個人データを収集している場合はGDPRに対応しなければならないのですが、とりあえず現地法人に任せているという日本企業も少なくありません」。こう話すのは、ベリタスの髙井隆太・常務執行役員。

 ベリタスでは、調査結果を「GDPRレポート2017」として公表し、日本企業に対して広く注意喚起を図っている。「GDPR対応を自社内だけで行うのは難しいでしょう。まずは現時点における準備状況をチェックし、コンプライアンスに準拠できる戦略を構築してくれるアドバイザリーサービスを見つけることが重要です。早急に対応しなければ、雇用、ブランドの信頼性、企業の存続が問われることにもなりかねません」と髙井常務は警鐘を鳴らす。

テクノロジーの欠如が
GDPR対応の妨げに

 GDPR対応では、個人データの管理システムを導入するだけでなく、ビジネス部門や法務・コンプライアンス部門、IT部門など複数の部署が連携する体制構築が不可欠だ。そのためには経営トップが関与し、情報ガバナンスを整備していくことが重要なポイントになる。

 「個人データをどのように分類し、保護すべきかについて、経営トップは自ら方向性を示していく必要があります。GDPR対応は、文書作成だけでは終わりません。組織づくりや人材教育、システムを運用するテクノロジーも必要です。制裁金のインパクトはもちろんですが、組織横断的に連携して実行しなければ対応できないということの重要性を改めて認識すべきです。1企業平均で1ペタ(1000兆)バイト、23億ファイルのデータが保有されているといわれています。今後、企業のデータはさらに増え続け、その中から個人データを後から特定することは現実的でなく、あらかじめ把握することもテクノロジーなしでは不可能です」と髙井常務は話す。