欧州連合(EU)の一般データ保護規則「GDPR(General Data Protection Regulation)」の施行まで、2か月を切った。同規則は違反時に課される多額の制裁金で注目を浴びている。対象となる企業が対応を迫られるなかで、一部のITベンダーは商機と捉え、「GDPR」のキーワードを絡めたメッセージを打ち出し、データ保護の重要性を今一度アピールしている。(前田幸慧)

 GDPRは、欧州経済領域(EEA)の個人データの処理と移転について定めた法律。今年5月25日に施行される。EEAに所在する人の個人データを処理する企業が適用対象となり、たとえEEA内に拠点をもたなくても、域内の個人に対して商品・サービスを提供する、あるいは監視を行う企業は、GDPRの対象に含まれる。違反した場合、最大2000万ユーロ、もしくは前年度の全世界売上高の4%のいずれか高い方を支払わなければならない。このように、違反すると巨額の制裁金が課せられる恐れがあることから大きな注目を集めており、対象企業はGDPRを遵守するための体制構築が求められている。

 GDPRでは、EEA域内から域外(第三国)への個人データの移転は原則として禁止となる。処理を行うにも、個人データの適切なセキュリティ措置の実施と説明責任、内部記録の保持、データ保護責任者(DPO:Data Protection Officer)の任命など、取り組まなければならない事項は多岐に渡る。

 そうしたなかで、一部ベンダーの間では企業のGDPR対応を支援するサービスの提供を今一度打ち出している。その一社であるインターネットイニシアティブ(IIJ、勝栄二郎社長)は、GDPRへの対応支援を強化するとして3月、新サービスの提供を開始すると発表した。

 同社は、2016年からGDPRへの対応に向けた取り組みを開始。同年10月には、企業グループ内での情報管理ルールを文書化した「拘束的企業準則(BCR)」を英国の監督機関(ICO)に申請。こうして培ってきたGDPR対応の知見を生かして、コンサルティングサービス、セキュリティ対策サービスなどの提供を行ってきており、とくに17年7月に提供を開始したGDPRに関する情報を提供する「IIJビジネスリスクマネジメントポータル」は、「800社を超える企業が利用している」(小川晋平・経営企画本部ビジネスリスクコンサルティング部長)という。

 IIJが今回新たに提供するサービスは、企業における現在の取り組み状況をアセスメントする「GDPR適合簡易アセスメント」、自社でGDPR対応を進めるために必要な機能を用意した「IIJコンプライアンスプラットフォーム for GDPR」、DPOをIIJに委託する「IIJ DPOアウトソーシングサービス」の三つ。小川部長は、今からGDPR対応を進めていくために必要なプロセスとして、「現状調査を行ったうえで未対応箇所を特定し、リスクの高いところから優先して計画を策定し対応していくこと」などを挙げる。今回の新サービスについても、「まだまだGDPRに対応している企業は少ない。できるだけコストを抑えて自社でも対応可能なようにしている」と話す。

 IIJのほかにも、クラウドストレージサービス「box」を提供するBox Japan(古市克典社長)は、日本国内で全データの保管・バックアップが可能となる「Box Zones Japan」の提供を開始すると発表。3月に開いた会見では、同社もBCRを策定済みでデータ処理者資格をもち「データの合法的な移転が可能だ」と、GDPRに対応していることを強調。同サービスの提供で、「とくに厳格なデータ管理求められる業界にもソリューションを提供できる」としている。

 現状、企業のGDPR対応は少ないとされ、「実際に制裁が課されないと動かないのでは」との声もある。いずれにしろ、個人情報保護を目的とした規制が強化される傾向にある昨今。データ保護に取り組む重要性は高まってきている。