ハイテクメーカー様 EU一般データ保護規則(GDPR)施行に係る対応支援

プロジェクトの背景

GDPRは、EU域内居住者の基本的人権である個人データの保護に対する権利の保護を目的とした法律であり、2018年5月25日から施行されました。規制の適用範囲が広いこと(日本を含むEU域外の企業も対象、日本の個人情報保護法に比べ、「個人データ」の定義が広いこと等)、また、非常に「あいまい」な規制であることから、その対応は容易ではありません。
一方で、違反した場合、最大で2,000万ユーロまたは、グループ全体(全世界)の売上高4%の高い方の制裁金が科せられることから、グローバル企業においてGDPR対応が必要となりました。

活動内容

GDPRの要求事項について、「経営」・「業務」・「IT」の各視点で整理し、対応タスクをフレームワーク化しました。そのうえで、EU当局に対するアカウンタビリティ(説明責任)を確保するための「リスク管理体制・コンプライアンス体制」の強化と、「文書化」を能率的に行いました。
<経営(ガバナンス)観点>
 ・規程類の整備
 ・契約関連の整備(SCC文書の締結、GDPR対応に係る契約書覚書案の作成など)
 ・組織体制構築(運営組織決定、EU代理人選任、DPO選任など)
 ・リスク管理方針策定
<業務観点>
 ・データ主体要求対応の準備
<IT観点>
 ・リスクランクに応じたITセキュリティ対策強化(対応基準、アセスメント、対応計画策定、対応実施)

プロジェクトの成果

上流部分からベイカレントが関わり、クライアント企業の現状や課題を熟知した上で、要件定義を行ったことでスピーディに戦略から実行までの落とし込みができました。
クライアント企業ではシステム開発の意思決定がなされ、現在システムの実装段階にあり、着実に「目指すべき姿」の実現に向けて進んでいます。
GDPR施行までの約3ヶ月間で、GDPRの要求事項を満たすための対応が完了しました。また、グローバル企業として、GDPRを含む国内外の法規制対応にも対応できる「リスク管理体制・コンプライアンス体制」の強化を実現しました。
PAGE TOP