情報セキュリティに厳格な欧州 GDPRとNIS2対応の遅れが命取りに？（1/2 ページ）

[武田信晃，ITmedia]

　個人情報の保護強化は世界的な流れだ。EUでは2018年5月に「一般データ保護規則」（GDPR）が施行。2024年10月には「改正ネットワークおよび情報システム指令」（NIS2指令）も施行された。

　日本企業がEU内で経済活動をする場合、個人情報を慎重に取り扱う必要がある。データ保護とサイバーセキュリティのサービスを提供している独エノバイトのヘルマン・グンプCEOに日本企業がすべき対策を聞いた。

独エノバイトのヘルマン・グンプCEO（エノバイト提供、以下同）

「AWSは、みんな使っているから大丈夫」の罠

　エノバイトは、2017年にグンプCEOがミュンヘンで起業した。デュッセルドルフとロンドン、東京に拠点を持つ。100社以上の日本企業をサポートしていて、クライアントは日立製作所、電通デジタル、キッコーマンなど多彩だ。

　GDPRやNIS2は、欧州に拠点のある企業または、欧州に拠点がなくても欧州の客に対してサービスや製品を展開している企業が対象になる。グンプCEOは「日系企業は対策が遅れている」と話す。

　「日系企業の現地法人は、対策が必要だと危機感を持つのですが、本社側がその重要性を理解せず、現地法人に必要な予算が下りないケースも散見されます」

　日本と欧州の間では、個人情報について根本的な考え方が異なる。

　「GDPRでは、基本的に全ての個人データの取り扱いが禁止されていて、正当な法的根拠がある場合に限り、例外として取り扱えます。一方、日本は欧州よりは規制が緩く、個人データを活用して経済を盛り上げていこうとする発想が基本にあります」

　ただ現在は、世界的に個人情報の扱いが厳しくなっていて、日本もそれに合わせなければいけないため、「押さえつけられている感覚」を持つ日本企業が多いそうだ。

エノバイトの事業内容

最新情報を日本語で提供

　同社の強みは、GDPRやNIS2の日本語による資料やガイドラインがない中で、新しい法律や判決、最新情報を日本語で客に伝えることができる点だ。

　具体的なサービスとして「DPO（データ保護オフィサー）アウトソーシング」があり、その中に、インシデント対応というサービスがある。もしデータ漏えいが起こった時、当局に72時間以内に報告しなければならない。その際の報告の仕方などを、全面的にサポートするという。

　1年間でデータ漏えいが1回もなかったという企業の方が珍しいと話す。「従業員が何千人もいて、5年も10年もデータ漏えいのレポートがないと、逆に何か隠しているのではないか？　と怪しまれることもあります」

　エノバイトでは、拠点が日本と欧州にあるホテルが、DPOアウトソーシングを利用した導入事例を明示している。まずはGDPRアセスメントを実施し、組織の現状とGDPR準拠のギャップ分析・リスク評価をする。それに基づき、キックオフ・フォローアップミーティングを実施し、優先順位付けとTo Doリストの作成を実施する。約半年後、初回監査と従業員のトレーニングを実施するという流れだ。

拠点が日本と欧州にあるホテルが、DPOアウトソーシングを利用した導入事例

　「EU代理人サービス」と「UK代理人サービス」というサービスもある。EUや英国の人々が、進出企業にデータ保護に関して苦情を訴えるときや、法律的な権利を行使しようとするときに、当該企業の代わりに苦情を受けつける窓口サービスのこと。また何らかの違反をした際に、現地当局からの連絡窓口もエノバイトが担う。

　「サイバーセキュリティ」のサービスでは、ITベンダーの評価・選択支援、ITインフラの設計・構築支援など戦略的コンサルティングから技術的な実装まで幅広くサポートする。

「DPO（データ保護オフィサー）アウトソーシング」の内容