どうも、サイバ課長サイよー。

日頃、サイバーセキュリティに着目している人なら最近“GDPR”という言葉をよく耳にすると思うサイ。これは2018年5月にヨーロッパで施行された法規制で、日本語に訳すと「EU一般データ保護規則」。ヨーロッパ圏内すべての個人のためにデータ保護を強化し、統合することを意図しているサイよ。

GDPRをヨーロッパだけの個人情報保護法だと思っていたら大間違いサイよー。この規則の対象はヨーロッパ圏内の個人情報。つまり、日本の企業もヨーロッパ圏内の企業と取引をしていたり、支社を設置したりしていれば対象になるサイ。また、ヨーロッパに支社がなくてもインターネット取引等でヨーロッパ圏内の個人情報を扱っていれば準拠が必要となるサイよ。例えば、全世界のユーザーをターゲットにしているオンラインゲーム制作会社は、ヨーロッパ圏内の個人情報を扱う可能性があり、GDPRの対象となるサイね。

旅行業界やホテル業界へは、影響が顕著に現れているサイよ。最近では、ヨーロッパのホテル予約サイトで不正アクセス事件が発生。同サイトに業務を委託していた業者が持つ個人情報が漏洩し、GDPRの違反事例となる可能性も出ているサイ。

知らなかったでは済まないGDPR。日本企業が早期に対応するために、中小企業向けの製品/サービスをグローバル顧客管理などを展開しているゾーホージャパン株式会社と、リスクマネジメントコンサルティング事業を行っているニュートン・コンサルティング株式会社が業務提携したサイよ。

そこで今回は、ゾーホージャパンの曽根禎行氏と、ニュートン・コンサルティングの内海良氏に、業務提携の経緯や提供するコンテンツ、日本企業における対応の現状などを伺うサイよ。

ごめんくだサーイ!

セミナー開催とブログ記事公開による情報発信

2社が業務提携をするきっかけを教えてくだサイ。

ゾーホージャパン曽根禎行氏(以下、曽根)
私たちゾーホージャパンはインドにヘッドクォーターを置き、グローバルで展開しているソフトウェアやアプリケーションを国内向けに販売しています。GDPRを意識した製品もあり、早期から対応に取り組んでいました。

ニュートン・コンサルティング内海良氏(以下、内海)
ニュートン・コンサルティングはロンドンでスタートした企業です。GDPRの前身である「データ保護指令」は1995年から始まっており、当時からコンサルティング支援を行っていました。

曽根
ニュートン・コンサルティング社とは以前から交流がありました。この度、双方のナレッジやツールを集結させることで、然るべき人たちへ必要な情報を提供できると考え、業務提携に至りました。

具体的にはどのようなことをしていくサイか?

ニュートン・コンサルティング株式会社 内海良氏

内海
我々は2017年夏ごろからGDPR対策の情報発信をしており、2017年末の無料セミナーは瞬く間に100人以上が集まりました。

2018年に入ってからはGDPRの対応を進める上で必要なノウハウとツールを1日で習得できる有償の「GDPR完全対応講座」を開始しています。ゾーホージャパン社と提携することで、この講座に関する情報の拡散もできると期待しています。

ゾーホージャパン株式会社 曽根禎行氏

曽根
私たちは「GDPR対策をDIYするブログ」を開設し、情報発信を開始しました。ニュートン・コンサルティング社からGDPR対策を支援する際に利用する解説書やツールの提供を受け、当ブログ内で伝えています。

また、私自身もニュートン・コンサルティング社が提供する1日講座を受講しており、ブログ記事内でGDPR準拠に向けたポイントや具体的対策などをステップ毎に解説しています。当ブログは、今後2か月程度で全7回の連載を予定しています。

対応企業は10%以下、「自己対応」を推進

日本におけるGDPR対策をどのように捉えているサイか?


内海
まず、対策等を支援するコンサルタントや専門家が圧倒的に少ないという現状があります。そもそも、自分たちが対象かどうかも把握できていない企業が多いのではないでしょうか。

曽根
トレンドマイクロ社の調べによると、GDPRに対応できている企業は10%以下と言われています。しかし、先の人材不足により、すべての組織が外部支援を受けるのは難しい状況です。自社リソースで可能な限りの対応を進めなくてはなりません。

参照知らないとマズい-最大約 26 億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間/トレンドマイクロセキュリティブログ

重要なのは“自己対応”サイね!

曽根
そうですね。デジタル社会の発展で「プライバシー対策」が当たり前になると思います。GDPRをきっかけに、リスクヘッジのために自ら対策することを促していきたいと考えています。

内海
GDPRへの対応は、企業のレピテーションにも大きく関わってきます。GDPRにおける個人情報の定義は広く、ヨーロッパ圏内と直接取引をするような旅行代理店などだけでなく、小さな印刷会社や自治体も間接的にでも対象になる可能性があります。

例えば印刷会社がとあるグローバル企業の社内報印刷を受注したとします。今月活躍した人を紹介するコーナーにヨーロッパ圏内の個人情報があれば、印刷会社にもGDPRに準拠したデータ管理の対象になり得るのです。

準拠違反の罰金は最大2,000万ユーロ

なるほど。どんな企業でも対象になる可能性があるサイね。


曽根
GDPRはIP アドレスやCookieなどのオンライン識別子も個人情報とみなされます。また、取得の際はユーザーの明確な同意が必要になるなど、厳格になりました。多くの企業が対象になる上に、厳しい規則を守っていかなくてはなりません。

内海
罰金も多額です。これらに従わなかった場合、最大で企業の全世界年間売上高の4%以下、または2,000万ユーロ以下のいずれか高い方が適用されます。1ユーロ130円で考えても26億円です。

26億円の罰金は大企業にとっても大打撃サイよ。

内海
その通りです。高額な罰金は悪質な違反とみなされた場合ですが、やはり中小企業が罰金対象となると、会社自体の存続が困難になるでしょう。我々の目的は、無理に費用をかけて万全の対策をやるということよりも、その企業の現実解を提供することを心がけています。規模や業種、個人情報のビジネスでの取扱い方法を見極め、現地弁護士も交え、きめ細かくサポートしています。

曽根
今回の業務提携で実現したいのは、ハイレベルで包括的なサービス提供ではなく、対策の第一歩へ各企業が自ら踏み出すための支援を行うことです。GDPRをきっかけに、日本企業全体がプライバシー保護について今より一段上のレベルで考えるきっかけになればと思っています。

ありがとうございました!

最後に

ヨーロッパの法規制とはいえ、日本企業も大きく影響を受けること。個人情報と一口で言っても、電話番号や住所だけでなく一見すると分かり辛い個人情報もあること。そして、自分たちが知らなくても従わなければ大きなペナルティーがあること。GDPRは絶対に学んでおかなければならないサイね。

一社でも多くの企業が自己対応に向けて動き出して欲しいサイよ!!

参照サイト

企業情報

会社名 ゾーホージャパン株式会社(ZOHO Japan Corporation)
本社所在地 〒220-0012
神奈川県横浜市西区みなとみらい三丁目6番1号みなとみらいセンタービル13階
設立年月 2001年9月6日
資本金 9,000万円(シンガポールZoho Corporation Pte. Ltd 100%)
事業内容 自社開発ソフトウェア製品の販売、付帯するコンサルティングサービス、保守サービスの提供
代表者名 代表取締役 迫洋一郎
会社名 ニュートン・コンサルティング株式会社
本社所在地 〒102-0083
東京都千代田区麹町1-7相互半蔵門ビルディング5F
設立年月 2006年11月
資本金 3,000万円
事業内容 リスクマネジメントに関わるコンサルティング
代表者名 代表取締役 副島一也
情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?