企業グループ年間売上で最大4%も‐‐あらゆるグローバル企業は高い制裁金を払うリスクを抱えている
いま世界各国や地域で個人情報保護に関する法律整備が進んでおり、グローバルに事業展開するとなると各地の法律に事業のオペレーションを対応させていかなくてはならない。今回の発表ではEU法規制に詳しいイギリスのPwC Legalパートナー Stewart Room氏や日本のPwCコンサルティング合同会社 マネージャー 門脇一史氏がEUを対象とした対策を中心に説明した。
PwCコンサルティング合同会社 マネージャー 門脇一史氏
EUにおいては個人情報の保護規制強化が進んでいる。特に注視しなくてはならないのがEU一般データ保護規則(以降、GDPR)である。EU市民の個人情報を取り扱う、あるいは保持する全ての企業や組織に影響がある。例えば日本で運用管理しているシステムにEU域内の顧客が個人情報を登録していれば、GDPRの適用対象となる。またEU域内のデータセンターでシステムを稼働させていたとしても、日本からアクセスしてデータ分析している場合でも適用対象となる可能性があるという。
規則の最終版は2016年5月に公開されており、適用開始は2018年5月からとされている。これまでに関係する企業はシステムと業務を法律に合わせて更改する必要がある。
GDPRは厳しい規制となっている。例えば罰金は最大で企業グループ年間売上の4%、情報漏えい時には72時間に情報を公開することなどがある。万が一、規制に抵触したら企業経営に与えるダメージは計り知れない。
なお最近イギリスがEU離脱に向けて動いているが、イギリスを対象に考えるなら影響は少ないとみてよさそうだ。GDPRはイギリスからの要請が大きいこともあり、PwCは「EU離脱に関係なくイギリスにも適用される」と話す。
PwCイギリス法人がグローバル企業に対して調査したところ、86%がデータ保護規制順守の構想も戦略もないなど、本格的な準備はこれからというのが実態のようだ。Stewart Room氏は現状では「あらゆるグローバル企業は(企業グループ年間売上で最大4%という)高い制裁金を払うリスクを抱えています」と厳しく指摘する。
データ保護規制に対応するには各種の段階がある。まずはデータやシステムの棚卸しとなる分析からはじまり、リスク評価、協議(関係者洗い出し)、システムの設計、文書化、誓約(社会に開示する情報や得るべき同意)、課題(インシデントへの対応)、管理(法的権利による申請への対応)、そして最後に制裁(訴訟対応)まで。
