GDPR施行前に企業が構築すべき体制とは

新しい規制に適切に対応するには対応策の理解はもちろん、実行に向けた体制構築が必要だ。それはGDPR(General Data Protection Regulation:EU一般データ保護規則)対応についても変わりはない。今回はGDPRの施行前にどのような体制を構築しておくべきかをお伝えしたい。

新しい規制に適切に対応するには対応策の理解はもちろん、実行に向けた体制構築が必要だ。それはGDPR(General Data Protection Regulation:EU一般データ保護規則)対応についても変わりはない。今回はGDPRの施行前にどのような体制を構築しておくべきかをお伝えしたい。

体制・隊列

基本的には全社対応、出来ればプロジェクトチームを作る

GDPRへの対応は、一言で言ってしまえば個人情報保護なのだが、その内実は社内のバックオフィス部門からマーケティング、営業やカスタマーサポート等のフロント部門にまたがる非常に幅広い対応が要求されている。このような部門横断で対応を求められる状況では、代表取締役もしくは役員直轄の下、権限を持った専任のプロジェクトチームを立ち上げることが推奨される。

今回のGDPR対応を一歩間違えれば、莫大な制裁金を科せられる可能性があることを考えると、トップが旗振りして全社を挙げて対応することを先導するべきだろう。もし現場担当者が先にこのGDPRの事実に気付いた場合、対応が後手になり組織にダメージが及ぶことを考えると、恐れずにトップに対して対応を上申することが必要だ。

割り振るべき役割を理解する

GDPR対応は幅広い部門にまたがると前述したが、その中での役割分担は大きく2つに分けると整理しやすいだろう。

部門

  1. 法務、総務部門
  2. マーケティング、営業、広報部門(※Webサイト統括や、Webでのキャンペーンを行う部門。マーケター)

1の法務、総務部門は全社的対応を統括すると考えれば分かりやすい。まずはこの部門が主体的、包括的に管轄することが大事であり、その際、個人情報を3つにカテゴライズする事を意識すると整理が容易だろう。

  • 自社従業員
  • パートナー(協力会社)
  • カスタマー(BtoBの場合はクライアント、BtoCの場合はユーザー)

いずれの場合も、個人情報の取得に際し、同意を取っているか、同意の証跡を残しているかが重要なのは間違いないが、日本企業として特に厄介なことの一つは”データ移転”だ。EU圏から日本本社(日本法人)にデータを移す場合は、データ移転に該当し、この点が現在最も懸念される点だ。

例えば、グループ会社をEU圏に持っている場合、EU圏の法人の従業員の個人情報も、GDPRでは守るべき個人情報に該当する。簡単な例は、EU圏で取得したレジュメが日本本社に渡る場合。あるいは、全世界で統一の従業員管理システムを持っている場合。などが該当すると考えられている。 パートナー会社や、クライアント企業も同様である。ケースを上げるならば、パートナー会社から得た名刺情報が日本本社に渡るというケースが考えられるだろう。これらのケースに対応するには、まず自社がどのような個人情報を持っているか、そしてどのような個人情報を手に入れることがあるか、ということを明らかにしていく必要がある。この対応に得意な部門が法務、総務系部門である。自社の部門構造に照らして任命して頂きたい。

 

“デジタルマーケティング”を疎かにしない

2の部門を切り出していることを少し意外に思われる方もいるかもしれない。こちらは部門というよりは、Webサイト(デジタルマーケティング)の視点で捉えてほしい。GDPRでは、オンライン識別子は個人情報であると定義されている。代表的な識別子としてはCookieがわかりやすい。GDPR対応では、このオンライン識別子が具体的に何か、を掘り下げることはあまり得策ではない。ここでは「Cookieが個人情報であり、取得・使用することに同意が必要。」という事実に危機感を感じてほしい。これまでの感覚であれば、個人の判別ができていないUnknown状態なのにCookie利用が制限されるのは何故?と感じるマーケターも少なく無いはずだ。この感覚の違いが一番落とし穴となりがちなので、気をつけて欲しい。

現在、何かしらアナリティクスツールや、マーケティングツールを使用している場合、そのツール自体がCookieを使用していることがほとんどと言って差し支えない。最近のWebの世界ではCookieなくしては成り立たない施策がほとんどである。だからこそ、マーケターは自律的にGDPR対応を意識しなければならならず、使用しているツールの管理制御を自身で理解しておかなければならない時代がもうすぐそこにやってくるのだ。法務、総務部門は大抵1の対応で手一杯になり、この観点がヌケモレがちになるため、担当を分けて設置する事がよいだろう。そして、Webサイトの対応は喫緊に行っておくことが、説明責任の意味でも重要だ。

 

重ねてになるが、GDPRは全社で対応すべき事項である。そしてその期限は原則として来年(2018年5月25日)までだ。まだ検討や情報収集もままならない企業においては、早急にプロジェクトチームを立ち上げ、期日に対応が間に合わないとしても企業として何故なのかを説明できる(アカウンタビリティを果たす)状態に次元を高めることをお勧めする。

次回は、マーケターがGDPR対応で考えるべきポイントをお伝えしたいと思う。

あわせて読みたい記事