消費者・顧客のデータを基にパーソナライズした体験を提供することにマーケターがしのぎを削る中、個人データを取り巻く法規制が世界的に大きな転換期を迎えている。日本では2017年5月に改正個人情報保護法が施行されたばかりだが、EU(欧州連合)が2018年5月25日にEU一般データ保護規則(以降、GDPR)の施行を予定しているのだ。

 GDPRは欧州の規制だが、欧州と取り引きのある日本企業は規制の対象となる。また、個人データの管理者の義務が大幅に強化されているため、準備ができているごく一部の企業を除き、多くは途方もない作業を強いられると思うかもしれない。残された準備期間が短い中、日本企業のIT部門はGDPR対応で何をすべきか、ガートナー リサーチ マネージングバイスプレジデントのカーステン・キャスパー氏に話を聞いた。

(聞き手は松本 敏明=ITproマーケティング、
記事構成は冨永 裕子=ITアナリスト)

ガートナー リサーチ マネージングバイスプレジデントのカーステン・キャスパー氏
ガートナー リサーチ マネージングバイスプレジデントのカーステン・キャスパー氏
(撮影:松本 敏明)
[画像のクリックで拡大表示]

日本企業がGDPRに対応する必要性

日本企業がGDPRに対応する上で何から始めるべきか。

 まず各国で異なる法に関する文化の違いから説明したい。米国は「遵守するか刑に服するか」。日本は「遵守するか、できないのであれば謝る」。これに対して、欧州は「遵守するか、できないのであればなぜ守れないかを説明する」である。

 この欧州の姿勢は、EUに28の異なる国が加盟し、言語や文化、歴史的背景がそれぞれ違い、一つの制度を全ての国に当てはめるのが難しいことが背景にある。国だけでなく業種や企業によっても法に対する姿勢は異なる。法律の条文通りに対応しようとする企業もあれば、条文を解釈し、積極的にリスクを取ることを選ぶ企業もあるだろう。

 いずれにせよ、企業としては最善を尽くして対応する必要がある。それでも、時間や予算の制約、要件を消化できずに対応が進まないこともあるだろう。そのときには、「対策を検討したが、できない理由を説明する」準備が求められることが前提にあると理解してほしい。

 現状、企業がやるべきことは2018年5月の施行開始までに対策を講じることだ。まず「データ保護責任者(Data Protection Officer:DPO)を任命する」必要がある。次に「どこにどんな個人データ(personal data)があるのかをきちんと把握する、棚卸し作業に取り掛かる」べきだ。棚卸しした個人データを書類に残すという文書化ができていれば、比較的良い状態にあると思っていい。

個人データの棚卸しが終わっていれば、準備ができていると考えていいか。

 残念ながら個人データの棚卸しと文書化は、2018年5月までにやっておいてほしい最低限の準備にすぎない。企業が時間を気にしているのは分かっている。だから一度に多くのことに取り掛かるのではなく、絞り込んだ準備を薦めたい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。