GDPRが施行される2018年5月25日が迫る中、日本の大手企業各社が急ピッチで準備を進めています。
GDPR対応は5月25日がゴールというわけではありません。むしろ、5月25日はスタート地点に過ぎません。あらためて、GDPRという法律の本質について考えてみます。
GDPRは、その制裁金の金額ばかり着目されていますが、本質は「個人の自由と権利を守る」ことにあります。ここを正しく理解していないと「形ばかりの対応」となり、時間と資金を浪費することとなります。
これについては、Article 5 “Principles relating to processing of personal data”(個人データの処理に関する原則)を正しく理解することが重要です。
GDPRのもうひとつ大切なポイントは「データ保護体制の維持」です。社内で扱っている欧州個人データの保護体制を継続的にモニタし、適切な保護体制が維持されるよう PDCA をまわすこと、すなわちマネジメントシステムを個人データ保護に対しても維持することです。実際は欧州の個人データのみを切り分けて管理するというのは現実的ではないかもしれません。その場合、会社としては全社的に個人データ保護体制の導入を行うことが必要となります。
すでにいくつかのGDPRコンサルティング会社では導入されていますが、データ管理はエクセルではなく、個人データ保護用のソフトを導入するのがよいでしょう。個人データ保護に特化したソフトは、適法根拠の記録、同意の記録、データ移転の記録、DPIA(データ保護影響評価)の記録、その他議事録の記録、データ主体の権利への対応等、必要な機能が一箇所で行えるよう設計されているからです。
IAPP(国際プライバシー専門家協会)がソフトウェアベンダーを紹介しています。ぜひ参照してください。日系企業であれば日本語で対応したくなるかもしれませんが、ソフトの質を考えると海外製品のほうがはるかに使い勝手がよいというのが実情です。
また、プライバシーを専門的に扱うチームを設置し、チームでのデータマネジメントも必要となるでしょう。
日本の企業は法令・規格対応が苦手です。その理由は文面を愚直に守ることに重きを置きすぎるからです。このあたりの感覚を含めて、プライバシーチームには欧米のチームメンバまたはチームリーダを入れておくことがよいでしょう。