GDPR絶対理解、プロが教える「ココだけ」対策ポイント：待ったなし！ GDPR対策（2/3 ページ）

GDPRの対応には関わる部門が多い。まずは各部門で対応すべき項目を整理し、優先順位をつけて対応することが重要だ。ココだけは外せない対策ポイントを説明する。

[土肥正弘，キーマンズネット]

まず着手すべきポイントはどこか？

　このように記すと、あまりに多岐にわたる対策が必要になるため、2018年5月25日のGDPR施行までにはとても間に合わないと思われることだろう。実際、時間的な余裕が多少あったとしても、全方位的な対応は非常に難しい。これに対して松浦氏は「いつまでに、どこまでの対応を図るかは、リスク管理の考え方を適用して考えるべき」と助言する。対応にかかる費用と時間、人的リソースと、生じかねないGDPR違反リスクを勘案して、優先順序をつけながら順次対応を遂行することが大事だ。

　GDPR施行後、体制整備が不十分だからといって、日本企業に直ちに制裁が科されるとは考え難い。透明性と適合性の確保を粛々と遂行することは重要だが、真っ先に「問題視されそうな部分＝リスクの高い事業領域」を優先してGDPR対応を図るべきだ。松浦氏はリスクの高い事業領域の典型として、EU域内でのB2Cサービスのケースを挙げた。

　「GDPRの適用を受けるB2Cビジネスを展開する企業で必ずすべきことは、カスタマーとのコンタクトポイントにおけるGDPR対応です。例えば利用規約、プライバシーポリシーなどを整備し、Webからの商品購入などの際に個人データの取り扱いについて明示して、本人の同意をとることが重要。社内体制の整備などについては、その後計画的に実行していくべきでしょう」（松浦氏）。

　EU域内でコンシューマー向けサービスを提供している場合、まず取り組むべきことは、顧客本人の同意を得るための対策だ。その次に優先順位が高いのが、ドキュメント類の整備である。個人情報管理規定や、プライバシーポリシー、サービスなどの利用規約、情報セキュリティポリシーなどの文書を優先して整備することで透明性が確保でき、説明責任を果たす下地が出来上がる。2018年5月25日までには、少なくともドキュメントが整備されていることが必須だと考えられる。

GDPR対応スケジュール

　では、日本企業のGDPR対応はどのようなステップで行えばよいのだろうか。PwCコンサルティングでは、対応を進めるために3つのフェーズに区切って整理する。

図2　GDPR対応に至る3つのフェーズ（出典：PwCコンサルティング）

　各フェーズの実行にかかる期間は次のように想定される。これはPwCコンサルティングの事例から導かれた実績値だ。ただし、グローバル企業全体においてではなく、日本に本社を持つ企業の場合の期間となる。

• フェーズ1：2〜3カ月
• フェーズ2：3〜9カ月
• フェーズ3：2〜3カ月

　グローバル企業では、全体の対応にさらに長い期間が必要になる。また、展開する事業がB2BなのかB2Cなのか、EU域内の個人データをどの程度の規模で取り扱うのかによって大きく変わる。

　PwCコンサルティングは、2018年5月25日までにフェーズ2までを終了させることを推奨しているが、例え期日までに間に合わなくともプロセスを前に進めることが重要だ。各フェーズで必要なタスクは次の通りだ。具体的なタスク遂行の参考のために、同社が各フェーズにおいて対応するサービス項目を添える。自社のみで対応する場合でも同様の作業が必要になる。