IIJ、EUの個人情報保護法「GDPR」への対応支援サービスを拡充

　株式会社インターネットイニシアティブ（以下、IIJ）は19日、EUの個人情報保護の枠組みを規定した「一般データ保護規制（以下、GDPR：General Data Protection Regulation）」への対応支援を強化すると発表した。

　同日に行われた記者説明会では、日本企業のGDPR対応状況を説明するとともに、新たに提供する3つのGDPR関連サービス「GDPR適合簡易アセスメント」、「IIJコンプライアンスプラットフォーム for GDPR」、「IIJ DPOアウトソーシングサービス」について概要を紹介した。

　GDPRは、EUにおける個人データの処理と、EU域内から第三国に個人データを移転するにあたって満たすべき法的要件を規定するEU法。違反した企業には2000万ユーロ以下、または全世界年間売上高の4％以下の、いずれか高い額を上限とする制裁金が科せられる可能性がある。

　この法規制は今年5月25日から施行されるが、認知が不足していたり、対応項目が多岐にわたっていたりすることから、対象となる多くの企業で万全な状況とはいえないのが現状だ。

　IIJ 経営企画本部 ビジネスリスクコンサルティング部長の小川晋平氏は、日本企業のGDPR対応状況について、「当社が実施した実践的GDPR対応セミナーでのアンケート調査によると、回答企業410社のうち、『GDPRが経営会議で取り上げられている』は62社、『全社関連部署を巻き込んだプロジェクトチームを結成して動いている』は76社、『GDPR管掌役員任命済み』は35社にとどまる結果となった。この数字を、欧州に進出している日本企業約2599社（経産省調査）と比例計算してみると、日本全体でまだ222社しかGDPRにきちんと対応できていない状態であることが想定される」と分析する。

IIJ 経営企画本部 ビジネスリスクコンサルティング部長の小川晋平氏

　「経営陣のGDPRに対するリスクの認知度はまだまだ低いのが実情だが、その一方で、すでに管掌役員を任命している企業は本当にGDPR対応に動いていると考えられる。ただし、経営会議に取り上げられている企業数よりも、全社関連部署を巻き込んだプロジェクトチームを結成して動いている企業数が多いというのは、本当にすべての関係者を巻き込めているのか極めて怪しいといわざるを得ない」と指摘。

　「当社のアンケート調査ではGDPR対応の進捗率についても聞いているが、72％の企業が実質未対応に等しい30％未満の進捗率であり、90％の企業が50％未満の進捗率であることが明らかになった」と、日本企業のGDPR対応が遅れていることを強調した。

日本企業のGDPR対応状況

日本企業のGDPR対応状況

　こうした状況に対して今回、同社では、日本企業がGDPR対応を進めるための支援を強化・拡充することを発表。新たなGDPR対応サービスとして、企業における現在の取り組み状況をアセスメントするための「GDPR適合簡易アセスメント」、GDPR対応を自社で進めていくために必要な機能を備えた「IIJコンプライアンスプラットフォーム for GDPR」、データ保護監督機関から選任を義務付けられるデータ保護責任者（DPO）をIIJにアウトソースする「IIJ DPOアウトソーシングサービス」の3つのサービスを提供開始する。

IIJのサービスとGDPR対応のマッピング

　まず、「GDPR適合簡易アセスメント」は、GDPR対応に関する5カテゴリ・25問の質問に回答することで、自社の取り組み状況を簡単にアセスメントすることができるサービス。アセスメントの結果はレーダーチャートで表示され、企業は未対応項目を視覚的に理解し、対策立案に役立てることができる。

　IIJビジネスリスクマネジメントポータルのオプション機能として本日より提供を開始し、同ポータルの登録会員は無料で簡易レポートを閲覧できるという。有料会員は、経営陣向けに活用できる詳細レポートの表示と生データのダウンロードが可能となる。

　次に、「IIJコンプライアンスプラットフォーム for GDPR」では、自社のGDPR順守状況と対応進捗を可視化するとともに、経営陣や監督機関への報告レポートを自動生成する機能を提供する。利用企業は、このプラットフォームに個人情報を取り扱う社内システムを登録するだけで、その後はガイダンスに従ってわかりやすく作業を進めていくことができる。

　「例えば、プロジェクトマネージャは、GDPR対応のワークフローとして『記入担当者』、『レビュアー』、『最終承認者』を設定することが可能。特に記入担当者は、必要最小限の質問に答えるだけでよいため、効率的にセルフアセスメントを進めることができる。また、バランシング評価シートやDPIA（データ保護影響評価）のリスクアセスメントの評価シートなど、GDPR対応に必要なテンプレートを用意している」（小川氏）という。

　同プラットフォームは英国Digital Control Room社との協業により実現し、本日から受注を開始、3月26日からの提供開始となる。利用料金は、初期費用が30万円、最初の1システムが月額10万円、追加1システムにつき月額1万2000円。なお、IIJビジネスリスクマネジメントポータルのアドバンスト会員に対しては、初期費用10万円、1システム月額10万円、追加1システム月額1万円の特別価格で提供する。

　「IIJ DPOアウトソーシングサービス」は、IIJの専門スタッフが高度な専門性、言語能力、豊富な知見を生かし、DPO業務を請け負う。主なサービスメニューとして、「スタートアップ（初期準備）」では、顧客企業がすでに作成済みの処理記録（30条）の一覧などをもとに、顧客企業のDPOチームメンバーとIIJのDPOによるDPOチームの構成、DPOチームとしての年次計画、週次、月次の定常確認ルーティンワークといったDPOチームの運営計画およびタスクを整理・決定する。

　「オペレーション（運用）」では、「各部門・拠点におけるプライバシー保護状況の監視・対応報告と是正策のアドバイス」、「個人データ取り扱い拠点の現地監査・是正アドバイス」、「4半期ごとの経営陣への報告」、「計画に基づいた個人データ保護教育の展開」、「データ主体（従業員含む）からの問い合わせ対応」、「監督機関からの問い合わせ対応・監督機関への相談」、「次年度の計画策定」などの定常業務を行う。また、個人データ侵害時の監督機関への連絡や、DPIAへのアドバイスおよび監督機関への事前相談といった非定常業務にも対応する。

　同サービスには、グローバルでの効率的な運用管理を行うため、「IIJコンプライアンスプラットフォーム for GDPR」の個人データ取り扱い業務で利用するシステム登録用の10システム分がバンドルされる。3月26日から受け付けを開始、4月9日から提供開始する予定。サービス費用は、「スタートアップ（初期準備）」が200万円から、「オペレーション（運用）」が月額120万円となる。