【日本企業から寄せられる、GDPR への高い関心】
日本の AvePoint ブログ読者の皆様、こんにちは。AvePoint オーストラリア支社でコンプライアンス ストラテジー マネージャーを務めております エサド・イスマイロフ (Esad Ismailov) です。
2018 年 5 月 25 日に発効した EU 一般データ保護規則 (GDPR) は、EU 圏外に拠点を置く企業にも影響を及ぼすとあり、日本でも高い関心を呼んでいました。
私は GDPR 施行直前、AvePoint Japan が 日本マイクロソフト と共同で実施したセミナーにスピーカーとして参加させていただいたのですが、東京・大阪・名古屋の三都市で開催されるという規模の大きさ、ほぼ即時満員となる会場が出るなど、日本国内での関心の高まりと危機感を強く感じました。
2018 年に連続開催となった GDPR セミナーにて登壇する筆者
※AvePoint の GDPR 対策ソリューションについては こちら からご覧いただけます (PDF)。
しかし、現場での関心の高まりとは裏腹に、最近の分析をみる限り、日本企業の実際の対策状況は立ち遅れているきらいがあるようです。
【「日欧合意」=「これで安心」 ではない】
そして GDPR の発効後に報道された 個人データの相互移転に関して日欧が合意した というニュースを受け、日本企業はさらに具体的な GDPR 対策の実行を迫られることになりそうです。
引用先の日経新聞の報道では、「企業の事務負担は軽くなりそうだ」 との見解が示されていますが、実際のところ、この合意は日本・ EU 双方のデータ保護要求を相互認識するという条件において有効となっている、という点に注意が必要です。
これは、日本側には、機密情報の保護に関する条件、日本国内から他国へのデータ移転を行う際の条件等に関するセーフガードを数種類追加する他、データ主体からのアクセス請求 (DSAR) として知られている、個人が自分自身のデータにアクセスする権利を認めるなどのアクションの実行が義務付けられるということを意味します。
【サイバー セキュリティの世界的な潮流に乗り遅れるな】
これまでにも複数の国家が、データ保護法やサイバー セキュリティ法などを GDPR の方向性にあわせて変更してきました。
例えば 2017 年 6 月には中国で サイバーセキュリティ法 が、シンガポールで サイバーセキュリティ法 が発効したほか、オーストラリアでも 2017 年 2 月に、個人情報の漏洩が起きた場合の通知に関する新たな法律が可決されています。
適切な対策をまだ実行できていない企業は、このような情勢の中でさらに苦戦を強いられることになる見通しです。そして調査の結果をみる限りでは、多くの日本企業の対策はまだ不十分な状態であると考えることができそうです。
2020 年の東京でのオリンピック開催を 2 年後に控えた日本にとって、ヒトの安全を担保するサイバー セキュリティは最優先で取り組むべき課題です。日本に世界の耳目が集まる中、日本企業にとっても、顧客データを安全・適切に取り扱う姿勢を示していくことは非常に重要です。
【GDPR 対策の重要コンセプトを押さえた AvePoint のソリューション】
とはいえ、扱う対象が非常に広い GDPR は、どこから対策に手をつけてよいのか迷いがちなことも、また事実です。
今年前半の GDPR 対策セミナーで 「GDPR 対策のために理解しておくべき重要キーワード」 としてご紹介したのが、以下の概念・用語となります。まずは、こちらの概念について理解を深め、自社ではどのような対策が必要となるかの検討から始めてみるのはいかがでしょうか。
– 「忘れられる権利」 と データ主体からのアクセス請求 (DSAR)
– データ保護・バイ・デザイン & バイ・デフォルト / プライバシー・バイ・デザイン (GDPR 第 25 条)
– データ移転・データ マッピング/組織内でのデータの移動 (GDPR 第 6・30・32 条)
– 72 時間以内の通知
– アカウンタビリティ
このうちの一部は、AvePoint 特設ページ からダウンロードできる無料 eBook 『GDPR/ 個人情報保護重要 IT キーワードの基礎知識』 に内容解説を掲載しています。是非ご一読ください。
AvePoint では、顧客企業それぞれのニーズと優先順位にマッチした GDPR 対策のため、サービスや製品をご用意しています。お問い合わせは こちら から受け付けております。
