EU(欧州連合)が個人データの扱いを定める一般データ保護規則(GDPR)。施行まで7カ月に迫っているにもかかわらず、日本企業の対応遅れが目立つ。

 PwCは2017年10月、米国と英国、日本の約300社を対象に実施したGDPR対応の進捗に関する調査結果を公表した。米国企業は約22%が対応完了と回答したのに対し、日本企業は2%にとどまった。

 2018年5月25日に施行されるGDPRはEU域内に拠点を持っていたり、EU域内の個人にサービスを提供したりする世界中の企業に適用される。グローバル企業はもちろん、日本にある旅館でもEU域内の顧客から外国語やユーロ決済で宿泊予約を受け付けてメールを送る際に適用になる可能性がある。

 GDPR対応で必要なのは、情報漏洩などを防ぐセキュリティ対策に限らない。データ保護責任者を選任して、国境を越えたデータの移転や、データに関わる個人からの同意の管理、削除権(忘れられる権利)、個人の意向で別の企業にデータを移すデータポータビリティ権などに対応する体制の整備が必要になる。GDPRの施行まで7カ月となり、日本企業は早期の対応を迫られている。にもかかわらず、他国に比べて後手に回っている状況が浮き彫りになった。

「ライフサイクル管理」を支援

 特に日本企業が整備できていないのはデータの「ライフサイクル管理」を実現する仕組みだという。扱っている個人データの利用目的や利用場面のほか、利用についての同意の有無、不要なデータの消去などを統合して管理する必要がある。