誰がどのようにアクションをとり、どんな組織にサポートしてもらうべきか?
適用対象となれば何らかの対応をとる必要がある。門脇氏はいろいろな視点で対応策のポイントを具体的に挙げた。
まずは誰が何をするべきか。門脇氏は部門ごとに対応すべき項目を分類して提示した。例えば情報システム部門であれば、データポータビリティの実現、アクセス権付与や承認の管理など情報システムに実装すべき項目がある。情報セキュリティ部門であれば、データセキュリティの強化や匿名処理の標準化や文書化など。
出所:PwCコンサルティング合同会社 Security Online Day 2016
講演資料より[クリックすると図が拡大します]
情報システム以外にも法務部門なら契約プロセスやモデル条項の整備、経営に近い立場ならデータプライバシーオフィサー(データ保護責任者)やEUにおける代理人の選任などがある。
GDPR対応は多岐にわたるため、企業全体でプロジェクトとして進めていくことになる。全体像はどうとらえたらいいか。大きなステップとしては「アセスメント」、「方針検討」、「実装」の3段階になる。最初に現状を把握するためにアセスメントを行い、体制や業務の見直しからシステムの導入や更改の方針などを検討し、そして実装という流れだ。
出所:PwCコンサルティング合同会社 Security Online Day 2016
講演資料より[クリックすると図が拡大します]
アセスメントとして門脇氏はPwCのRAT(Readiness Assessment Tool)を挙げた。これはPwC UKが開発した評価ツールとなる。現状を業務担当者への聞き取りと、規定文書や情報システムなどの調査から何が不足しているのかGAPを洗い出す。門脇氏は「短期間でGAP分析が可能となります」とメリットを挙げる。
体制も重要なポイントだ。グローバル企業に関わる問題なので、各国ごとに対応していては非効率だ。グローバル企業ならグローバルで対応を進めていくのはもちろんのこと、サポートを依頼する組織がどれだけグローバルなネットワークを持つのかも重要だ。グローバルな体制で情報や知見を収集できる組織のほうが理想的だ。
サポートを依頼する企業がどの段階までカバーしているかも重要なポイントだ。例えば「アセスメントだけ」「コンサルティングまで」かもしれないし、システムソリューションの導入など具体的な実装まで伴走してくれれば心強いことだろう。
ここはPwCの強みでもある。過去の個人情報保護施策強化策事例では、平時のユーザー行動を自動学習しておき、逸脱行為を自動検出するような振る舞い分析検知型システムの実装、データのトークン(秘匿)化の実装などを実施した。振る舞い分析検知であれば早期検知が期待できるため、GDPRが定める個人情報漏えい発生時の72時間以内の報告義務への心強い支えとなりそうだ。
発効まで2年未満。システムを更改するにしても、社内体制を見直すとしても、あまり時間は残っていない。早急にすべきことを確認して発効開始にそなえておきたい。
