2018年5月のGDPR施行をひかえた状況の変化
――GDPR対応について、欧米そしてアジアの現状について教えてください。
ルイスターバーグ:GDPR対応については、多くの企業が自社の事業にどのくらいのインパクトがあるのか、その判断に迷っている段階ではないかと思います。GDPRは基本的に、より統合された俯瞰的な視点が必要であるため、単なるプライバシーの問題ではなく、データガバナンス、データマネジメントも含めたビジネスの問題として捉えられるべきです。達成すべき目標であると謳ってはいても、企業や国によって、目標に至るアプローチの解釈に差が生まれました。
このGDPRが草案段階だった頃と現在を比較すると、2つの違いが見受けられます。そのひとつ目は地域的な違いで、アメリカではプロセスとテクノロジーの観点で捉えるという処方的なアプローチをとりました。これは、すでに法制度が存在していたので、あとはシステムによっていかに遵守を目指すかが焦点になったためです。欧州では、どちらかといえばポリシー、ガイダンスであるとみなされました。最終的に正しい場所に到達すれば良いという捉え方です。
南米諸国はヨーロッパをフォローする傾向にあり、例えばアルゼンチン、ブラジルでは、政策や法律に関してもEU全体というよりはスペインに追随する傾向があります。アジアは国によって解釈に差がありますが、アジア全体としてはアメリカとヨーロッパとの中間に位置する印象です。企業に任せる部分を残す一方で、非常に職務的なポリシーを用意しているところもあります。日本はご存じのように、GDPRへの対応に若干の遅れがあります。
もうひとつの違いは業種間の差で、これには地域差はありません。例えば金融業界やライフサイエンス、官公庁などはインパクトに早く気づいたように思います。また、同じ金融業界でも銀行の方が保険会社より早く気づいたというようなトレンドがありました。それに対して製造業や消費財産業は、気づきの遅れがありました。いずれにせよ、どの業種においても企業によってアプローチに違いがあります。
ただ全体的には、実際に起こり得る事象のインパクトを過小評価した傾向があるように思います。どの業界も業種も縦割りの構造が存在しますので、最初はコンプライアンス、法務の問題だと思われていたからです。ところが、これはIT及び業務オペレーションへのインパクトがあるという気づきが生まれました。そのタイミングや気づくまでの時間の差によって、業種間の違いが生まれたように思います。
日本の企業とヨーロッパの企業を比較すると、日本企業の方がディテールにこだわる傾向があり、全てを網羅的に対応しないといけないと考えているように感じます。そうではなく、もう少し優先順位をつける方向で取り組んだ方がいいように思います。一方で、ヨーロッパの企業の方がリスクベースのアプローチにより慣れていたと思われる部分がありますが、地域差よりは業種間の差の方が大きいように思われます。
――GDPRについて、EUではどのようなアナウンスをしているのでしょうか。また、それを受けてデロイトの欧州のクライアントは、どのような状況でしょうか。
ルイスターバーグ:まず、EU当局側の動きとしては、GDPRへの対応に関してかなり積極的で、いわゆる「29条作業部会」がガイドラインを出しています。これはGDPRをどう解釈すべきかというガイドラインです。また、各国のデータ保護当局においても同様の動きがみられます。2018年5月の施行に向けて、市場に対してGDPR対応を正しく実施してくださいという、プロモーションのようなものですね。
その一方で、EU域内における私たちのクライアント間での認知度はどうかというと、「GDPRがある」こと、そして「どうやらプライバシーに対してインパクトがある」ことまでは認識していただいているのですが、それが日々の業務にどのような意味を持つのかまでの認識は、まだ低いように感じます。
どちらかというと、欧米企業の経営層や幹部レベルにおいては認知度が高まってきているようには思えます。しかし、中小企業では「これは一体何を意味するものなのか」と暗中模索の状況が続いているようです。確かに変化は日々起こっているのでしょうが、現状ではその程度だろうというのが私の感触です。
