現実のものとなる制裁金リスク

GDPR施行まで1年を切った <br />今からできることは何か松浦 大
PwCコンサルティング合同会社
マネージャー
サイバーセキュリティ・アンド・プライバシー

ITセキュリティ企業およびシステムインテグレーターにて、サイバーセキュリティ専任営業を経験した後、PwCに参画。EU一般データ保護規則(GDPR)対応、改正個人情報保護法対応、PCIDSS準拠対応、情報セキュリティ管理態勢、サイバーセキュリティ対策等のアドバイザリー業務に従事。同テーマでのセミナー講師多数。セキュリティプロダクトの評価、選定等に関するアドバイザリーも提供している

 EU競争法(独占禁止法)の執行により、日本企業に数百億円規模の制裁金が科されるケースが後を絶たない。直近では、欧州委員会が同法に基づき、グローバルIT企業に対して数千億円もの制裁金を科すというニュースが飛び込んできた。欧州委員会のコミッショナーは数ヵ月前、別のグローバルIT企業に制裁金を科した際、「企業はEUの規則を順守しなければならないという明確なメッセージを送るものだ。(中略)」との声明文を公表している。同様のことは、個人情報保護法令においても起こり得る。想像してほしい。今から約1年後、GDPRを遵守していない企業に対しても同様の恐ろしいメッセージが届くかもしれない。

 GDPRの施行まで1年を切った。現在多くの企業は対応に追われていることだろう。そのプロジェクトをリードしているのは誰だろうか。GDPR対応は、組織横断的な全社的プロジェクトであることは間違いない。もしあなたが所属する組織が、今でもボトムアップによる地道な取り組みを続けているとしたら、はたして残された1年で完遂することができるだろうか。

 PwCが支援するプロジェクトでは、はじめに、責任者となるべき担当役員を選定し、強いリーダーシップを持って推進している企業が多い。トップダウンである以上、社内における優先順位は最高位に位置付けられ、プロジェクトの遅延は許されない。現場での対応は工夫の連続となるが、明確に施行日が設定されている法規制対応とはそういうものである。

多くの関係者を巻き込むことが
絶対的な成功要因となる

 GDPR対応を、リスク管理部門や法務部門だけに一任してしまっていないだろうか。もちろん、彼らの活躍によってGDPR対応は一定の成果をもたらすだろう。しかし、もし法令違反が起きるとすれば、それは実際に個人データを活用する部署、たとえば営業、マーケティング等、ビジネスの現場を持つ事業部門であるに違いない。GDPRでは、重大な義務違反に対して、高額な制裁金を科している。日々のビジネスを運営する、ある一部門が全社に適用される制裁金リスクを取れるとは思えない。彼らに法規制遵守の当事者意識を植え付けるためにも、保有する個人データを正確に洗い出すためにも、プロジェクトは、リスク管理や法務だけでなく、経営企画、IT、総務人事、営業・マーケティング等、あらゆる部門も巻き込んで推進することが重要である。