PwCコンサルティング マネージャー 門脇一史氏

PwCコンサルティングおよびPwCあらた有限責任監査法人は7月14日、グローバルに事業を展開する国内企業を対象に、個人情報保護に関する各国の法令に対応するための「グローバル個人情報保護対応支援サービス」を提供開始すると発表した。

PwCコンサルティング マネージャーの門脇一史氏は、同サービスを提供する理由について、「グローバルに事業を展開する企業は、個人情報管理を見直す必要が出てきているから」と説明した。

その背景は2つある。1つは、個人情報の活用が国境を越え、個人に関連した検索履歴・行動履歴・位置情報など多様な情報の利用が進んでいることだ。もう1つは、世界で個人情報を安全に活用するためのルールがより明確になり、罰則も厳しくなってきていることだ。

個人情報に関するルールの動向として、国内では改正個人情報保護法の施行が予定されており、また、EUではEU一般データ保護規則(General Data Protection Regulation:GDPR)が2018年から適用が開始される予定だ。

個人情報の管理の見直しが必要とされる背景

同サービスでは各国の法令に対応していくが、顧客から問い合わせが多いのはGDPRへの対応だという。GDPRは、データ保護に関する法律の改訂としては過去20年間で最大のものであり、EU市民の個人情報を取り扱うあるいは保持するすべての企業や組織に影響を及ぼす。

新たな義務としては、「重い罰金」「より重要視される業務の適切性と説明責任」「強制力のある規制」「情報漏洩時の公開義務化」「個人情報漏洩に関する米国スタイルのアクション」「サプライチェーンに関する新しい責任」がある。

罰金はグループ全体で年間売上高の最大4%と非常に高額となっているほか、情報漏洩時の公開義務は発生してから72時間以内となっている。

門脇氏は、国内企業がGDPRの適用対象となる個人情報利用のケースを紹介した。1つは、EU域内の顧客がWeb経由で予約サイトにアクセスし、個人情報を登録し、その情報をEU域外の予約管理システムに蓄積・処理するケースだ。EU領域内に住む顧客に対するサポートセンターをEU圏外の国に開設し、個人情報を含むサービス履歴を蓄積している場合も該当するという。

GDPRの適用対象となる個人情報利用の例

また、GDPR適用が"グレー"のケースとして、EU域内にある日本企業の子会社が収集した顧客の個人情報に日本の本社からアクセスしてPCの画面に個人情報を表示するケースが紹介された。「個人情報が出力されている可能性があるログファイルを日本に収集している」「EU域内の支社と日本本社との間のメールで、従業員の人事評価などの個人情報を送受信している」場合も該当するという。

GDPRの適用対象となる可能性がある個人情報利用の例

「グローバル個人情報保護対応支援サービス」は、アセスメント(Assessment)、方針検討(Design)、実装(Implement)という3つのプロセスに沿って、サービスを提供する。

アセスメントでは、個人情報の特定、アセスメントの対象となる法令の整理を行い、対象法令とクライアント企業の現状とのGap分析を行う。その際、PwC英国法人が開発したツール「RAT(Readines Assesment Tools)」を用いて、短期間かつ低価格で評価を行うという。具体的には、PwCが企業の担当者へのインタビューなどで確認した企業の現状をRATに入力した後、Gap分析結果の報告書としてまとめて報告する。

方針検討では、Gap分析の結果を基に、個人情報の管理体制・管理業務・管理システムなどの観点で方針を検討していく。管理体制と管理システムの対応は、法令とのGap度合や法令適用期限などを踏まえて対応が優先度別に整理し、対象各国の国内事情も考慮しながらロードマップを策定する。個人データ管理システムに対しては、漏洩防止ソリューションや早期検知ソリューションなどの導入も含めて検討し、効果的な個人情報管理業務・システムの実現を目指す。

実装では、方針検討で策定したロードマップに沿って、規程類の改訂や業務プロセスの変更、システムソリューションの導入などを行う。域外移転に関する各種契約の締結についても、PwCのグローバルネットワークと連携し、期限までの対応を支援する。

「グローバル個人情報保護対応支援サービス」の概要