ニュース
IIJ、GDPRへの対応支援サービスを拡充、新たに4つの関連サービスを提供開始
2018年11月13日 06:00
株式会社インターネットイニシアティブ(以下、IIJ)は12日、EUにおける個人情報保護の枠組みを規定した「一般データ保護規制(GDPR:General Data Protection Regulation)」への対応支援サービスを拡充し、新たに4つの関連サービスの提供を開始した。
GDPRは、EUにおける個人データの処理および移転に関して満たすべき法的要件を規定するEU法で、違反した企業には2000万ユーロ以下または全世界年間売上高の4%以下のいずれか高い額を上限とする制裁金が課せられる可能性がある。
IIJでは、企業のGDPR対応を支援するサービスとして、ガイドラインなどを提供するポータルサイトや、取組状況を評価するためのアセスメントサービス、データ保護責任者(DPO)のアウトソーシングサービスなどを提供してきたが、さらに企業の運用面を主に支援する4つのサービスを新たに提供する。
「IIJ EU代理人サービス」は、欧州経済領域(EEA)に拠点を持たない企業が、欧州所在者の個人データを取り扱う場合に選任する義務が発生する、EEA域内に監督機関およびデータ主体とコミュニケーションを行う窓口となる「代理人(Representatives)」を提供するサービス。価格は、初期費用が30万円、年額費用が9万6000円から。
IIJでは、EU域内の弁護士や当局対応経験者を中心とした代理人を揃え、サービスでは代理人を選任するとともに、顧客との取り次ぎを日本語でサポートしながら、監督機関およびデータ主体からの問い合わせに対するアドバイス、対応を行う。
さらに、データ主体からの問い合わせに関して、EU公用24言語へ翻訳するウィジェット(ブログパーツ)をオプションで提供する。サービス開始段階でサポートしている言語は、英語、フランス語、ドイツ語、スペイン語の4言語。対応国は、アイルランド、英国、オーストリア、オランダ、スペイン、ドイツ、フランス、ベルギー、ルクセンブルクの9カ国で、今後さらに対応を追加していく予定。
「IIJ GDPR有事対応支援サービス」は、EEA域内において個人データの侵害もしくは侵害の恐れが生じた場合に、事後対応を支援するサービス。対応方針の策定から体制構築、監督機関・データ主体への報告書作成まで、有事の緊急対応を支援する。価格は個人データ侵害の種類、内容、量、影響などに応じた個別見積もり。
また、GDPR違反時の緊急対応は相応の対応、時間稼働が必要になることから、高額の費用が想定されるため、IIJではGDPRの平時、有事対応の関連作業費用を損害保険会社が提供するサイバー保険などでカバーできるよう、複数の保険会社と連携しているという。
「IIJ GDPR対応状況セカンドオピニオンサービス」は、企業自身が実施もしくは他社で作成したGDPR対策および関連ドキュメントについて、文書類や対策状況などに過不足がないかを、IIJの専門家がレビューするサービス。価格は個別見積もり。
内容が不十分であったり、追加で準備が必要な書類などについては、必要に応じて改善案や対策方針を提示したり、実際の対策を支援することも可能。また、このサービスを利用することで、企業の業務内容やGDPRの対策状況などをIIJが把握しておくことが可能となり、前述のIIJ GDPR有事対応支援サービスと併用した場合に、素早い対応が可能になるというメリットもあるとしている。
「DCR Cookie Auditサービス」は、英Digital Control Roomが提供するクッキー同意管理サービスを、IIJが国内一次総代理店として、チャネルパートナー経由で販売する。
価格はオープンで、参考価格は年額1万4400円から(500ページまで)。
EUではGDPRに続く新たなプライバシー法として、電子通信分野の個人情報保護を目的とした「eプライバシー規則」の実施が予定されており、施行された場合には、必須クッキーなど取得が許可されたもの以外、ウェブサイトでのクッキーによるデータ収集については、ユーザーの能動的な同意が必須となる。DCR Cookie Auditサービスは、ウェブサイトにJavaScriptを埋め込むだけの簡単な実装で、こうしたクッキーポリシーの告知や同意取得を実現できる。
IIJビジネスリスクコンサルティング本部長の小川晋平氏は、IIJの商談先で上場・EU拠点ありの80社に対する調査結果を紹介。大企業では2019年3月末までに日本とEU拠点での対応はほぼ完了する見通しだが、その他の地域での対応は遅れているとした。
また、自社のGDPR対応に自信のない企業が約半数となっており、3分の1の企業は運用体制を構築できていないと説明。こうした状況を受け、主に運用面で企業を支援するサービスの提供を開始するとした。
GDPRの状況については、英国の監督機関であるICOが、カナダのAggregate IQに対してEUの個人データに関する一切の処理を停止するよう命令。これにAggregate IQは提訴しているが、提訴が却下された場合には制裁金が課される可能性が高く、初の巨額制裁金の事例になることが予想されると説明。
2018年5月のGDPR施行以降、大規模な制裁金事例が出ていないため、日本企業の多くは安心している感があるように思われるが、実際の制裁金事例が出てくると日本企業も大騒ぎをしそうな感じを受けているとした。
さらに、中国のネット安全法や、カリフォルニア消費者プライバシー法など、世界各国でこうした法規制が進められており、グローバルに活動する企業は対応を迫られていると説明。IIJでも提供中の「GDPRアドバイザリーサービス」を「IIJビジネスリスクアドバイザリーサービス」にリニューアルし、中国サイバーセキュリティ法へのアドバイスを開始するとともに、カリフォルニア消費者プライバシー法についても対象に加えるなど順次サービスを拡充しており、今後も各国の法規制にいち早く対応し、顧客のビジネスリスク対策を支援していくとした。