GDPR対策、まずは着手することが重要
GDPR対策において悩ましい課題として、データ保護責任者(DPO)の設置がある。たとえばドイツでパソコンを使う従業員が10名以上いる拠点がある場合、DPOの選任が必要になるという。
DPOには高い独立性が認められる一方、責任を負うことがないなど、経営者から見て危険なポジションになりかねないとIIJは指摘する。現実には、欧州の現地法人でDPOを任せられる従業員がいない点も課題だという。
そこでIIJでは、このDPOについても業務委託で引き受けるサービスを発表した。こうしたDPOのアウトソーシングは欧州では始まっているが、日本では初めてになるとしている。
それでは、これから対策に本腰を入れる場合、5月25日の施行に間に合うのだろうか。IIJによるコンサルティングは半年程度かかるというが、まずはGDPR対策に着手することが重要だと小川氏は強調する。
その背景には、GDPRの主なターゲットは米国との見方があるという。2013年、元NSA職員エドワード・スノーデン氏が米国の諜報活動を告発したことで、欧州では個人データやプライバシーの保護意識が高まった。米政府や巨大IT企業への警戒感が、GDPR成立を後押ししたというわけだ。
このことから、5月25日時点で対策が間に合わなかった日本企業が、即座に制裁金の対象になる可能性は低いと小川氏は見ている。一方、完全に未着手であることが発覚した場合には、大きく報じられるリスクもあるという。たとえ施行には間に合わなくとも、GDPR対策を進めることは必須といえそうだ。