Reading Time: 1 minutes
この記事の所要時間: 約 5分

第2回 GDPRへ対応するための作業ステップと事前準備

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

前回の第1回は、「GDPRの概要と日本における現状」について説明しました。

第2回は実際にGDPRへの対応を進めるにあたっての作業ステップと事前準備について説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

それではまず、GDPRへの準拠を進める上での作業全体の流れを把握いただくため、次の図をご覧ください。


出典:
ニュートン・コンサルティング発行
~GDPR完全対応講座~ワークショップ解説資料より抜粋

大まかな作業内容としては以下の通りです。

1.事前準備
・業務の理解
・プロジェクト体制整備
・スケジュール作成

2.DPO設置検討
・DPO設置の検討

3.プライバシーポリシーの作成
・プライバシーポリシーの作成・改訂

4.クッキーポリシーの作成
※EEA向けWebサイトがある場合
・クッキーポリシーの作成

5.データマッピング
・処理者のGDPR取組状況確認

6.ギャップ分析
・データマッピングに基づくギャップ分析
・組織全体としてのギャップ分析

7.文書化
・ルール決定と文書化

GDPR講座でも目安が説明されていましたが、GDPR準拠までの所要期間は、およそ、企業規模によりますがプロジェクト開始から3~6か月間程度が必要とのことです。
対策の指揮を行う日本国内の本社のみならず、国内の拠点、EEA域内の現地法人、データ処理者と関係者も多く、多くの拠点や部署を巻き込みながら作業を進める必要があります。

では早速、前述の1-7項までの作業項目のうち、「1.事前準備」について掘り下げていきます。

1.事前準備

・業務の理解

ここでは、GDPRの構築を検討するにあたり、自社のステークホルダーや拠点などを洗い出し、対象となる組織・部署、構築体制などを検討するための情報を集めます。また、自社の事業や拠点、対応が必要となる部署などを把握しておきます。

整理する上での観点としては以下のような視点で洗い出しましょう。

〈自社〉
事業内容
拠点

〈サプライヤー〉
仕入れ先
外注先

〈顧客・消費者〉
顧客
要求・ニューズ
契約条件

〈顧客の顧客(エンドユーザー)〉

〈海外〉
自社の関連企業
従業員/家族の労働組合
競合会社
顧客の関連企業

〈その他〉
債権者
金融機関
株主/投資家
法律/規制/官公庁
社会/地域

・プロジェクト体制整備

ここでの作業の目的は、適切なGDPR対策を進める上での構築体制を整備し、効率よくGDPR準拠プロジェクトを推進することです。

進め方のポイントとしては大きく2点あります。

■トップダウンで進める(多くの部署を巻き込む必要があるため)
■海外の拠点の担当者も含める

特にトップダウンでアプローチする上では、経営者自身がGDPRへのリスクを理解し、対応を進めることに対する意思決定が必要になります。大まかにリスクを試算し経営者に対してそのリスクの大きさを理解いただく必要があります。

GDPRの観点でいえば以下の5点がリスクの対象の例になると考えます。

:巨額の制裁金(最大で年間売上の4%、または2000万ユーロ(約26億円)のいずれか高い方)
:個人データの漏洩に関する賠償に関わる費用(例えば個人データ1件当たり\1,000の金券配布で試算)
:漏洩事故に関わる事故調査に関わる費用
:漏洩に対する恒久対策に要する費用(システム導入など)
:漏洩の事実が対外的に示されることによるブランド低下による機会損失

こういった情報を大概的にまとめて、経営者に説明することで意思決定を促す必要があります。

また、個人データを取り扱う関連部署は、営業、人事、購買、そして保管場所を提供するIT部門など多岐にわたります。これらの部署をまとめていくうえでも経営からの号令は欠かせません。

体制構築の対象範囲は、GDPR対象となる組織・拠点のすべてです。
特にEEA域内の個人データを取り扱っている可能性のある組織、部署、個人データなどのプライバシー、セキュリティにかかわりのある経営陣などが範囲になります。

体制構築に当たっては、GDPR対策講座で提供される、「GDPR構築体制の検討」の回答用紙を活用してください。回答例を以下に掲載します。
(回答用紙を含む資料は文末よりダウンロード可能)

出典:
ニュートン・コンサルティング発行
~GDPR完全対応講座~ワークショップ解説資料より抜粋

・スケジュール作成

そして事前準備の最後の項目だが、GDPR構築プロジェクトのスケジュールを作成するステップです。GDRP講座にて紹介される、スケジュール例を掲載するので参考にしてみましょう。

出典:
ニュートン・コンサルティング発行
~GDPR完全対応講座~ワークショップ解説資料より抜粋

「GDPR対策をDIYするブログ」第2回は「GDPRへ対応するための作業ステップと事前準備」について書きました。

ここまでのステップについて、ニュートン・コンサルティング社が開催するGDPR講座で解説される
「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~③抜粋)」の資料を以下よりダウンロードいただけます。

GDPR対策をDIYするブログ第3回では、「DPOの設置、プライバシーポリシー・cookieポリシーの作成」についてご説明します。

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

【~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~③抜粋)】
ニュートンコンサルティング発行

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ 連載目次
第1回 GDPRの概要と日本における現状
第2回 GDPRへ対応するための作業ステップと事前準備(今回)
第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成
第4回 データマッピングおよび処理者へGDPR対応状況の確認
第5回 ギャップ分析と対応策の検討を行う
第6回 GDPRにおけるIT対策
第7回 ルール決定と文書化(最終回)

Tags : GDPR