「制裁対象」は意外なところに 知っておくべきGDPRの「5つのポイント」：巨額の制裁や詐欺のリスクも（2/4 ページ）

[宮田健，ITmedia]

GDPRを「個人情報に対する考えを変えるきっかけ」に

　GDPRの影響を受けるのは、全世界に展開する大企業だけではない。「自分たちは関係ない」と思っているような企業でも、GDPRへの対処が必要な場合はある。日本の企業が、いまからGDPRについて注意すべきポイントとは何か。日本の企業におけるGDPRの認知度調査を行った、トレンドマイクロの上級セキュリティエバンジェリスト染谷征良氏に聞いた。

トレンドマイクロ 上級セキュリティエバンジェリスト　染谷征良氏

　本稿が公開される頃には、GDPRは既に施行されているはずだ。しかし、いまの時点でGDPRに対応できていない企業でも、それだけを理由に即座に罰則を受けるわけではないため「間に合わないなりに、どういう道筋でGDPRの要件を満たしていくか、ロードマップを明確にすべきだ」と染谷氏は話す。

　GDPR対応を目指す企業がいま一度考えるべきなのは「そもそも、なぜ今の世の中にGDPRが登場したのか」という点だ。この法制度を理解するには「個人情報やプライバシーの保護は、その持ち主である本人の人権である」という考え方が浸透してきたという背景が、非常に重要になる。「GDPRという規制ができたから対応するという意識のまま、その根幹にある考え方を理解しない企業は、今後痛い思いをするかもしれない」と染谷氏が話す通り、あらゆる企業は、この機会を個人のプライバシーに対する考えを変えるきっかけとして捉えるべきだ。

　GDPR対応に向けた企業が具体的にやるべきこととして、染谷氏は「自社のどこでどのような情報が取り扱われているのかを整理し、

• 顧客から個人情報利用の許諾をきちんと得ているか
• 情報の収集目的が明確になっているか
• 個人情報取得の許可を事前に得ているか（オプトイン）

などのチェックリストを作り、個人情報を扱うプロセスや体制を可視化するべき」と話す。

　GDPRに関しては、「2000万ユーロ以上」という制裁金の大きさに注目が集まっているが、企業が本質的に注目すべき点は、制裁金ではない。昨今の日本国内で発生した情報漏えい事件を思い出してほしい。個人情報の保護をないがしろにし、情報漏えいなどのインシデントへずさんな対応をした企業はどうなっただろうか。今後、そうした企業が市場の信頼を失い、関係者に対する賠償金などの負債を背負って倒産する可能性も十分にあるのだ。

　「企業や組織は、自分たちが取り扱う個人情報の保護を“自分ごと”として考えるべき」（染谷氏）