Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

GDPRの現在地と、その先にあるもの--企業が今すべきこと、未来にむけて考えるべきことをデロイトに聞く

2017/10/25 06:00

 EUのGDPR(General Data Protection Regulation:一般データ保護規則)が、2018年5月に施行される。そこで、GDPR対応における欧州やアメリカ、日本の状況や感覚、温度の違い、GDPRの考え方やその先にあるものなどについて、デロイト ベルギーのパートナーであり、ヨーロッパ、ミドルイースト、アフリカ地域でGDPRも含めたプライバシー関連サービスの責任者をしているエリック・ルイスターバーグ氏、そしてデロイト トーマツ リスクサービスのパートナーである北野晴人氏にお話をうかがった。

2018年5月のGDPR施行をひかえた状況の変化

エリック・ルイスターバーグ氏
エリック・ルイスターバーグ氏

――GDPR対応について、欧米そしてアジアの現状について教えてください。

ルイスターバーグ:GDPR対応については、多くの企業が自社の事業にどのくらいのインパクトがあるのか、その判断に迷っている段階ではないかと思います。GDPRは基本的に、より統合された俯瞰的な視点が必要であるため、単なるプライバシーの問題ではなく、データガバナンス、データマネジメントも含めたビジネスの問題として捉えられるべきです。達成すべき目標であると謳ってはいても、企業や国によって、目標に至るアプローチの解釈に差が生まれました。

 このGDPRが草案段階だった頃と現在を比較すると、2つの違いが見受けられます。そのひとつ目は地域的な違いで、アメリカではプロセスとテクノロジーの観点で捉えるという処方的なアプローチをとりました。これは、すでに法制度が存在していたので、あとはシステムによっていかに遵守を目指すかが焦点になったためです。欧州では、どちらかといえばポリシー、ガイダンスであるとみなされました。最終的に正しい場所に到達すれば良いという捉え方です。

 南米諸国はヨーロッパをフォローする傾向にあり、例えばアルゼンチン、ブラジルでは、政策や法律に関してもEU全体というよりはスペインに追随する傾向があります。アジアは国によって解釈に差がありますが、アジア全体としてはアメリカとヨーロッパとの中間に位置する印象です。企業に任せる部分を残す一方で、非常に職務的なポリシーを用意しているところもあります。日本はご存じのように、GDPRへの対応に若干の遅れがあります。

 もうひとつの違いは業種間の差で、これには地域差はありません。例えば金融業界やライフサイエンス、官公庁などはインパクトに早く気づいたように思います。また、同じ金融業界でも銀行の方が保険会社より早く気づいたというようなトレンドがありました。それに対して製造業や消費財産業は、気づきの遅れがありました。いずれにせよ、どの業種においても企業によってアプローチに違いがあります。

 ただ全体的には、実際に起こり得る事象のインパクトを過小評価した傾向があるように思います。どの業界も業種も縦割りの構造が存在しますので、最初はコンプライアンス、法務の問題だと思われていたからです。ところが、これはIT及び業務オペレーションへのインパクトがあるという気づきが生まれました。そのタイミングや気づくまでの時間の差によって、業種間の違いが生まれたように思います。

 日本の企業とヨーロッパの企業を比較すると、日本企業の方がディテールにこだわる傾向があり、全てを網羅的に対応しないといけないと考えているように感じます。そうではなく、もう少し優先順位をつける方向で取り組んだ方がいいように思います。一方で、ヨーロッパの企業の方がリスクベースのアプローチにより慣れていたと思われる部分がありますが、地域差よりは業種間の差の方が大きいように思われます。

――GDPRについて、EUではどのようなアナウンスをしているのでしょうか。また、それを受けてデロイトの欧州のクライアントは、どのような状況でしょうか。

ルイスターバーグ:まず、EU当局側の動きとしては、GDPRへの対応に関してかなり積極的で、いわゆる「29条作業部会」がガイドラインを出しています。これはGDPRをどう解釈すべきかというガイドラインです。また、各国のデータ保護当局においても同様の動きがみられます。2018年5月の施行に向けて、市場に対してGDPR対応を正しく実施してくださいという、プロモーションのようなものですね。

 その一方で、EU域内における私たちのクライアント間での認知度はどうかというと、「GDPRがある」こと、そして「どうやらプライバシーに対してインパクトがある」ことまでは認識していただいているのですが、それが日々の業務にどのような意味を持つのかまでの認識は、まだ低いように感じます。

 どちらかというと、欧米企業の経営層や幹部レベルにおいては認知度が高まってきているようには思えます。しかし、中小企業では「これは一体何を意味するものなのか」と暗中模索の状況が続いているようです。確かに変化は日々起こっているのでしょうが、現状ではその程度だろうというのが私の感触です。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5