GDPR絶対理解、プロが教える「ココだけ」対策ポイント：待ったなし！ GDPR対策（3/3 ページ）

GDPRの対応には関わる部門が多い。まずは各部門で対応すべき項目を整理し、優先順位をつけて対応することが重要だ。ココだけは外せない対策ポイントを説明する。

[土肥正弘，キーマンズネット]

フェーズ1：アセスメントと計画策定

アセスメント

• EU在住者の個人データ取扱業務の整理
• 規定類とGDPR要求事項との差分抽出
• 対象個人データのフローや取扱業務の調査
• 総合的にギャップを分析

計画策定

• 課題を整理し、対応計画を策定
• 策定した対応計画を経営層および関連部門へ周知し、役割を明確化
• 対応計画に応じた予算化

図3　GDPR対応コンサルティングサービスによる支援例（出典：PwCコンサルティング）

フェーズ2：対応策の具体化

以下のように対応計画をさらに具体化する。

• 規定類の改訂版ドラフト
• SCC（標準契約条項）ドラフト
• BCR（拘束的企業準則）検討
• DPO／EU代理人の選任
• 業務プロセスの見直し
• データマッピング
• 個人情報記録簿
• DPIAプロセスの策定
• システムの改修
• セキュリティ強靭（きょうじん）化策の導入など

図4　GDPR対応コンサルティングサービスによる支援例（出典：PwCコンサルティング）

フェーズ3：実装と展開

• 具体化された施策をグローバルで実装
• 社内教育の徹底
• EU拠点における当局への申請手続き
• GDPR対応の最終点検

図5　GDPR対応コンサルティングサービスによる支援例（出典：PwCコンサルティング）

　以上、今回はGDPRの対応ステップとスケジュール、優先して取り組むべき事項について説明した。次回は、組織、ルール、運用面での留意ポイントについて考える。