消費者・顧客のデータを基にパーソナライズした体験を提供することにマーケターがしのぎを削る中、個人データを取り巻く法規制が世界的に大きな転換期を迎えている。日本では2017年5月に改正個人情報保護法が施行されたばかりだが、EU(欧州連合)が2018年5月25日にEU一般データ保護規則(以降、GDPR)の施行を予定しているのだ。
GDPRは欧州の規制だが、欧州と取り引きのある日本企業は規制の対象となる。また、個人データの管理者の義務が大幅に強化されているため、準備ができているごく一部の企業を除き、多くは途方もない作業を強いられると思うかもしれない。残された準備期間が短い中、日本企業のIT部門はGDPR対応で何をすべきか、ガートナー リサーチ マネージングバイスプレジデントのカーステン・キャスパー氏に話を聞いた。
記事構成は冨永 裕子=ITアナリスト)
日本企業がGDPRに対応する必要性
日本企業がGDPRに対応する上で何から始めるべきか。
まず各国で異なる法に関する文化の違いから説明したい。米国は「遵守するか刑に服するか」。日本は「遵守するか、できないのであれば謝る」。これに対して、欧州は「遵守するか、できないのであればなぜ守れないかを説明する」である。
この欧州の姿勢は、EUに28の異なる国が加盟し、言語や文化、歴史的背景がそれぞれ違い、一つの制度を全ての国に当てはめるのが難しいことが背景にある。国だけでなく業種や企業によっても法に対する姿勢は異なる。法律の条文通りに対応しようとする企業もあれば、条文を解釈し、積極的にリスクを取ることを選ぶ企業もあるだろう。
いずれにせよ、企業としては最善を尽くして対応する必要がある。それでも、時間や予算の制約、要件を消化できずに対応が進まないこともあるだろう。そのときには、「対策を検討したが、できない理由を説明する」準備が求められることが前提にあると理解してほしい。
現状、企業がやるべきことは2018年5月の施行開始までに対策を講じることだ。まず「データ保護責任者(Data Protection Officer:DPO)を任命する」必要がある。次に「どこにどんな個人データ(personal data)があるのかをきちんと把握する、棚卸し作業に取り掛かる」べきだ。棚卸しした個人データを書類に残すという文書化ができていれば、比較的良い状態にあると思っていい。
個人データの棚卸しが終わっていれば、準備ができていると考えていいか。
残念ながら個人データの棚卸しと文書化は、2018年5月までにやっておいてほしい最低限の準備にすぎない。企業が時間を気にしているのは分かっている。だから一度に多くのことに取り掛かるのではなく、絞り込んだ準備を薦めたい。