SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(PR)

GDPRの現在地と、その先にあるもの--企業が今すべきこと、未来にむけて考えるべきことをデロイトに聞く

 EUのGDPR(General Data Protection Regulation:一般データ保護規則)が、2018年5月に施行される。そこで、GDPR対応における欧州やアメリカ、日本の状況や感覚、温度の違い、GDPRの考え方やその先にあるものなどについて、デロイト ベルギーのパートナーであり、ヨーロッパ、ミドルイースト、アフリカ地域でGDPRも含めたプライバシー関連サービスの責任者をしているエリック・ルイスターバーグ氏、そしてデロイト トーマツ リスクサービスのパートナーである北野晴人氏にお話をうかがった。

2018年5月のGDPR施行をひかえた状況の変化

エリック・ルイスターバーグ氏
エリック・ルイスターバーグ氏

――GDPR対応について、欧米そしてアジアの現状について教えてください。

ルイスターバーグ:GDPR対応については、多くの企業が自社の事業にどのくらいのインパクトがあるのか、その判断に迷っている段階ではないかと思います。GDPRは基本的に、より統合された俯瞰的な視点が必要であるため、単なるプライバシーの問題ではなく、データガバナンス、データマネジメントも含めたビジネスの問題として捉えられるべきです。達成すべき目標であると謳ってはいても、企業や国によって、目標に至るアプローチの解釈に差が生まれました。

 このGDPRが草案段階だった頃と現在を比較すると、2つの違いが見受けられます。そのひとつ目は地域的な違いで、アメリカではプロセスとテクノロジーの観点で捉えるという処方的なアプローチをとりました。これは、すでに法制度が存在していたので、あとはシステムによっていかに遵守を目指すかが焦点になったためです。欧州では、どちらかといえばポリシー、ガイダンスであるとみなされました。最終的に正しい場所に到達すれば良いという捉え方です。

 南米諸国はヨーロッパをフォローする傾向にあり、例えばアルゼンチン、ブラジルでは、政策や法律に関してもEU全体というよりはスペインに追随する傾向があります。アジアは国によって解釈に差がありますが、アジア全体としてはアメリカとヨーロッパとの中間に位置する印象です。企業に任せる部分を残す一方で、非常に職務的なポリシーを用意しているところもあります。日本はご存じのように、GDPRへの対応に若干の遅れがあります。

 もうひとつの違いは業種間の差で、これには地域差はありません。例えば金融業界やライフサイエンス、官公庁などはインパクトに早く気づいたように思います。また、同じ金融業界でも銀行の方が保険会社より早く気づいたというようなトレンドがありました。それに対して製造業や消費財産業は、気づきの遅れがありました。いずれにせよ、どの業種においても企業によってアプローチに違いがあります。

 ただ全体的には、実際に起こり得る事象のインパクトを過小評価した傾向があるように思います。どの業界も業種も縦割りの構造が存在しますので、最初はコンプライアンス、法務の問題だと思われていたからです。ところが、これはIT及び業務オペレーションへのインパクトがあるという気づきが生まれました。そのタイミングや気づくまでの時間の差によって、業種間の違いが生まれたように思います。

 日本の企業とヨーロッパの企業を比較すると、日本企業の方がディテールにこだわる傾向があり、全てを網羅的に対応しないといけないと考えているように感じます。そうではなく、もう少し優先順位をつける方向で取り組んだ方がいいように思います。一方で、ヨーロッパの企業の方がリスクベースのアプローチにより慣れていたと思われる部分がありますが、地域差よりは業種間の差の方が大きいように思われます。

――GDPRについて、EUではどのようなアナウンスをしているのでしょうか。また、それを受けてデロイトの欧州のクライアントは、どのような状況でしょうか。

ルイスターバーグ:まず、EU当局側の動きとしては、GDPRへの対応に関してかなり積極的で、いわゆる「29条作業部会」がガイドラインを出しています。これはGDPRをどう解釈すべきかというガイドラインです。また、各国のデータ保護当局においても同様の動きがみられます。2018年5月の施行に向けて、市場に対してGDPR対応を正しく実施してくださいという、プロモーションのようなものですね。

 その一方で、EU域内における私たちのクライアント間での認知度はどうかというと、「GDPRがある」こと、そして「どうやらプライバシーに対してインパクトがある」ことまでは認識していただいているのですが、それが日々の業務にどのような意味を持つのかまでの認識は、まだ低いように感じます。

 どちらかというと、欧米企業の経営層や幹部レベルにおいては認知度が高まってきているようには思えます。しかし、中小企業では「これは一体何を意味するものなのか」と暗中模索の状況が続いているようです。確かに変化は日々起こっているのでしょうが、現状ではその程度だろうというのが私の感触です。

次のページ
GDPRに準拠することで生まれるチャンス

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9953 2017/10/25 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング