- 2020年8月5日
欧州への進出を考えている企業の皆様、特に法務やコンプライアンスでGDPRの対応を中心となって担っている皆様、GDPR対応を進めていくうえで、例えばこんなやり取りはありませんか?
ここは都内にある中堅製造業のA社。法務・コンプライアンス部の部長と課長が、会議室でGDPR対応について打ち合わせをしている。
部長「先月の株主総会は順調に終了し、役員変更に伴う登記関係の対応など、お疲れ様。株主総会では、株主様から欧州への海外進出についての期待が示されいくつか質問があり、当社の今後の業務拡大への関心がとても高かった。」
課長「今までは、東南アジアへの小規模な進出でしたが、将来の海外展開の選択肢の一つである欧州進出は大手商社様の後押しがあり、販路の確保も視野に入る事業及び収益拡大の大きな機会だと株主の皆さんが理解しています。」
部長「その通り。一方で、業務・収益の拡大を支える重要な観点、すなわち業務の進出及び展開に係る法令遵守の点についても、経営陣から[担当役員に]、GDPR(EU一般データ保護規則)の遵守と万が一の違反時に課せられる多額の制裁金を軽減するための対応をしっかり検討し、実装すべく準備を行うよう、再度話があった。その点については、引き続き当部が主導しながら部長会で議論され、その後経営会議、正式には取締役会で、欧州における海外子会社設立や、GDPRの遵守対応について諮るという予定だ。株主総会でも、株主様から様々な質問をいただくことになる重要な案件である。また、欧州への海外進出の中心拠点をまずドイツに置きたいとの方針であり、順次数か国への展開を考えているとの話であった。一つずつ準備を着実に積み重ねていく必要がある。まず、現状の準備状況はどうか。」
課長「組織的な面から説明します。会社の意思統一として、経営陣の理解のもと、関係各部の課長で構成している作業部会で相当準備が進んでいます。GDPRへの対応は当部だけの問題ではありません。海外進出の企画を担当する経営企画部、お客様や調達先の個人の情報を扱う販売会社を担当する事業は海外事業部、出向者の個人の情報を扱い人事・労務管理を担当する人事部などが、GDPR対応への検討をしており、協力して最終社内ルール、規定などを策定していきます。また、技術的安全面は、欧州と国内のシステム連携を担当するITシステム部が検討しています。情報の漏洩やハッキングの防止、PWの管理などです。海外子会社の物理的安全面を配慮した入居物件の選考を、海外事業部と総務関係担当部が検討しています。当社としての組織的、技術的、物理的安全措置構築の観点からの準備の検討をしています。」
部長「とりわけ、法律上の遵守要求事項の検討は当部の仕事であるが、その要求事項に則して現実的に情報を取り扱うことになる各部の理解、協力、運営体制がGDPR対応の実装には必須であると思うので、引き続き、要求事項を正しく理解してもらえるようにコミュニケーションをよく取って、対応の実装準備を上手くリードして欲しい。当部の仕事はブレーキをかけるばかりではなく、まさしくGDPR法令遵守態勢を構築運営し、適正な業務展開を推進するエンジンである。その点をもう一度自覚して欲しい。さて、実際のところ、現在支障や課題になっているようなことはあるか。」
課長「今後対応の準備が進むにつれて、今は作業部会に参加していない部署の参加が必要になる場合もあると思います。その場合は、部長会で、または、個別に参加の要請を部長からお願いできますでしょうか? オールA社で対応すべき案件だと思います。」
部長「それは、対応の実装の肝であるから、遠慮なく、参加の理由、その部署の役割等私に話して欲しい。他には。」
課長「今までは、様々な情報ソースから情報を収集し、セミナーなどに参加して理解を深めてきました。作業部会ではそれらを活用してGDPRの理解の擦り合わせを行ってきましたが、現在、実装に向けた作業への段階に進もうとしています。どうしても、より実装のための専門的な知識の継続的な収集やアドバイスが必要になってきています。また、先ほど部長からの説明からすると、展開の方針により、ドイツを始めとして、欧州の様々な国の現地法制などの情報も必要になってくると思います。」
部長「何か考えとか希望はあるのか。」
課長「実装の為のより実践的な情報や文書例など様々な情報が必要で、費用がかかると思います。GDPRの最新情報を含めて、実装の為の情報やアドバイスを提供してくれる先の調査を始めています。」
部長「費用に関してだが、この案件は当部だけの案件ではなく、会社全体の案件であるから部長会で予算化の話をする。その前に、情報やアドバイスを提供してくれる先や費用感について教えて欲しい。一度打ち合わせをしていくつか候補先を検討しよう。それから、部長会に諮ってみる。他に気になっていることはあるか。」
課長「以前説明しましたように、子会社を設置するなど、当社の場合には実際に欧州で展開を行う際には、DPO(Data Protection Officer)を置かなければなりません。GDPRの法令遵守を徹底していくうえで必要です。しかしながら、当部はGDPRに詳しいのは当然のこと、海外当局への対応窓口であることから、言葉の問題もクリアーしなければなりません。また、DPOには独立性が求められ、その身分が保障されているなど検討すべき点があります。また、データ侵害発生時の対応などへの本店の関与についても、作業部会で議論されています。当社にはGDPRの専門家もいないし、専門的対応への人材の確保が大きな課題となってきます。」
部長「DPOは社内だけでなく外部に依頼することもできると聞いたが。」
課長「その通りです。その点も作業部会で議論され、調査をしています。」
部長「まず実装に向けた専門的な情報の収集、そしてDPOの人選を含めた組織対応に注力しよう。そのための情報を入手次第報告して欲しい。」
課長「はい、わかりました。ありがとうございます」
本日の部長と課長の打ち合わせは、ここで終了しました。
さて、GDPR対応の主役を担っている皆様、ここでは様々なGDPR法令遵守の要求事項への対応が課題として挙がってきました。
例えば、
・実装に向けた様々な専門的な情報やアドバイスの確保
・DPOの選任などのアドバイス、外部のサービスの活用
・データ侵害発生時の対応構築
・GDPRの最新情報や現地個人情報法制情報など
主役の皆様が、より実践的な対応準備の情報や最新情報の収集の検討、また、DPOの選任を含めてお悩みをお持ちの際には、IIJでは以下のサービスを皆様に提供をしております。
是非とも、以下のIIJのサービス内容をご覧ください。
執筆:勝見 則之(ビジネスリスクコンサルティング本部)
お問い合わせ:bizrisk-enquiry@iij.ad.jp