ＥＵ一般データ保護規則、認知度低く　日本企業、遅れる対応

　欧州連合（ＥＵ）の「一般データ保護規則」（ＧＤＰＲ）は、欧州で事業展開する日本企業にも適用され、情報流出などの違反があった場合、厳しいペナルティーが科せられる。しかし多くの日本企業で認知度は低く、対応は大きく遅れている。

　三菱商事はＧＤＰＲへの対応について、「欧州拠点と連携し適用対象業務の洗い出しや必要な契約の整備など必要な対応を終えた」という。花王は２０１６年後半に着手し、社内ルールを昨年整備した。

　こうした対応済み企業は少数だ。大手企業でも現時点では制度の周知活動が中心で、パナソニックは対応マニュアルを作成し、関連部門に社内イントラネットで伝達。アサヒグループホールディングスは４月末に初めて、国内で関連する部門の担当者への説明会を開いた。

　一定の対応を進めている日本たばこ産業（ＪＴ）も、各種対策の前提となるデータの所在調査やリスクに対するアセスメントを終えた段階で、本格対応はこれからだ。

　日本企業の対応遅れは、トレンドマイクロの調査で明白だ。企業の首脳を対象に今年４月に実施したアンケートでは、ＧＤＰＲの「内容を十分に理解している」との回答は１０％にとどまった。一方で「名前だけ知っている」「知らない」との回答が６６．５％を占めた。ほとんどの企業が何ら対応に着手していないもようだ。

　そうした中、多くの企業が期待を寄せるのが「十分性認定」だ。欧州委員会が「個人情報の扱いが十分な水準と認める国」に与えるもので、経団連によると「日本の個人情報保護委員会と欧州委員会が協議を進めており、近く合意できる見通し」という。合意できれば対応に要する手間が減る可能性があり、日本企業の動きも加速しそうだ。

　ＧＤＰＲを商機とする動きもある。インターネットイニシアティブ（ＩＩＪ）は、ＧＤＰＲで選任が義務付けられる個人情報の管理体制を監督するデータ保護責任者（ＤＰＯ）の業務請負などＧＤＰＲ対応支援サービスに取り組んでおり、引き合いは強い。