レポート

講演レポート「IIJにおけるGDPR対応とBCR申請」(インターネットイニシアティブ 小川 晋平氏)

IIJのGDPR対応の経緯

■背景
 IIJは2011年からお客様のミッションクリティカルなシステムのデータベース等の管理を強みとするホスティッドプライベートクラウド「IIJ GIO」を米国、中国、シンガポール、英国と海外展開していったが、その責任者として2014年にIIJ Europeに赴任した英国でGDPRの危険性を認識した。当時はまだ可決まで時間がかかるものと思われていたが、2015年12月に突如ファイナルドラフトが出され、そこで次四半期で可決成立を目指すとなっていたため、すぐに対応が必要な旨をIIJ本社の経営トップに報告したところGDPR対応プロジェクトの責任者となり、2016年1月よりIIJとしてのGDPR対策を行うこととなった。

■対応の経緯
 2016年1月の時点で関係部署を巻き込み、会長・社長トップの下に、危機管理室(ありとあらゆるリスク・コンプライアンス対応の専門組織)が人事・IT系への対応、法務・コンプライアンス部が顧客・外注先との契約関係、グローバル事業本部が海外拠点との調整を担う体制を整備した。創業当初からインターネットの安心安全は必要不可欠と考える文化だったので、社内の協力を得やすかった。また、体制作りと併せてトップから大枠の予算で承認をもらえたので、各担当部門が動きやすい環境を整えることができた。
この2年ほど130社程度コンサルティングを行っているが、うまくいっていない企業の共通点は経営トップの理解がないこと。プロジェクトが進まない、予算がつかない、(特に海外との)協力関係が構築できないといった問題の原因は、経営トップの理解がない点に尽きる。

 体制構築後、最初に行ったことはリスクの割り切りである。施行までの2年間に、限られたリソースで何を最優先して対策するかを考え、当社にとってリスクが高いのは自社の従業員データよりもIIJ GIO顧客から預かる個人データであり、対策の最優先課題と捉え、BCRを作成し当局の承認を得ることに決定した。

 その後、管理者となるIIJ Europeでは、データマッピングを開始した。開始に先立ち、2016年1~2月にGDPRだけでなく一般データ保護指令および関連文書すべてを、私を含め5名のコンサルタントで読み込み、対応方法を整理した。GDPRでは、少なくともEUに拠点がある日本企業約2,700社は対応が必須となる。しかし、人員が限られる海外拠点で各社が個々に対応することは非効率なため、コンサルティングサービスの提供を決定し、IIJ Europe自身のデータマッピング作業と並行して、各社で使用できるテンプレートの作成、プロセス標準化を進めていった。その後、2016年5月にはIIJ Europeのデータマッピングを終了し、他国に移転したデータについてはグローバルビジネス本部経由で確認を依頼した。8月からはコンサルティングビジネスをロンドンで開始した。

 その間、日本側では危機管理室が法律事務所と共にBCRの準備を開始したが、その後2016年6月にBrexitが可決された。IIJ Europeの欧州総括拠点はロンドンのため、Brexit前であれば所管当局は英国ICOだが、離脱してしまうとIIJ Deutschlandがあるドイツ ノルトラインヴェストファーレン州が所管当局となりドイツ語への翻訳等負荷がかかる。このため、Brexit前に英国で取得することを目指し、2016年7~10月で一気に必要なドキュメントを整備し、10月14日に英国ICOにBCRを提出した。結果として、BCR提出をきっかけにコンサルティング依頼が急増し、ビジネス的には良かったと思う。

■BCR以外のGDPR対応

BCR以外のGDPR対応_図

 BCR以外のGDPR対応は、個人データのライフサイクルに沿って対応を進めていった。データマッピング→30条処理記録作成の段階のポイントとして、適法根拠と30条要件の記載に加え、関連ITシステムの対策状況、DPIAの必要性(非実施の場合の理由含む)を事前に整理しておくと、監督当局への説明の際に「きちんと対応している」心象を与え、ディフェンス力が高まるので、ぜひ実践していただきたい。

 また、データ主体から権利行使要求があった際の本人確認プロセスや権利行使拒否が可能な場面の整理、対応手順書の作成、削除権行使時の関連データの削除方式の確認及びテスト、処理者との契約に関しては28条3項に基づく処理契約文言変更、プロセス終了後のデータ削除の徹底がある。特に、日本企業は個人データ取得後そのまま保持しているケースが多いが、GDPRでは5条で処理終了後のデータ削除が明記されているので、徹底する必要がある。

 データ保護違反時の報告対応についてはISMS、Pマークで整備済みのため、プロセスの一部修正・追加に留まった。この他には、DPOの選任、EU代理人の必要性有無の確認、DPIAが必要なプロセスでのDPIAの実施、BCR承認までの第三国移転の適法化措置としてのSCC+DTA締結、社内教育等を実施し、2018年5月25日までにIIJ Europeと日本本社のGDPR対応は完了した。その後、ビジネスの変化に合わせて日々対応しているが、グローバルで見るとレベル差があるため教育を徹底し底上げていく必要があると感じている。

■世界各国の状況
 GDPR対応を進める一方、世界各国で個人データ保護関連法制が新たな動きを見せておりそこへの対応も必要となってくる。中国、ロシア、ベトナムはデータローカライゼーションを掲げており、基本的に個人データは一旦その国に置く必要がある。

世界各国の状況_図

 IIJビジネスリスクコンサルティング本部では、「ビジネスリスクマネジメントポータル」で世界各国の法制度について情報提供を行うとともに、IIJ自身を試験台にして対応ノウハウを蓄積し、各国の文化や執行力を見ながらどこで割り切る必要があるかを実務レベルでのアドバイスを行っている。

BCRの申請

 そもそも論として、EU域内での個人データ移転は自由、EU域外への個人データ移転は原則禁止で、国として十分性決定を受けている場合またはGDPR46条2項に挙げられている適切なデータ保護策が取られている場合にのみ移転が許可される。通常採用されるSCC以外に、BCRや行動規範、認証メカニズム等が挙げられているが、行動規範や認証メカニズムはまだ欧州委員会からはどこも承認されていない。

 我々が対応の検討を始めた2016年時点では、日本はまだ十分性決定されておらず、SCC締結が一般的であった。当時は、管理者として従業員データの他に訪日外国人向けSIM(Japan Travel SIM)直販の顧客データを保持していたが、対応を機にSIMは間接販売にシフトすることに決定した。

 一方、処理者としては10,000社を超える顧客を有する状態でSCC締結が現実的なのか、BCR取得では時間と費用に問題があるのではないか、等と様々な観点から議論を重ねた。その結果、顧客にとっても処理者がBCR承認されていれば当局への説明負荷の軽減・ディフェンス力向上につながるため、BCR取得は攻め(提供サービスの差別化)と守り(監督機関、EDPBとの良好な関係構築)の両方で投資対効果があると判断した。

 IIJのBCRはまもなく承認される予定だが、プラットフォーマー以外はBCRを申請する必要はない。ただし、世界各国の法規制動向は注視し、常に現在のビジネス環境(利用サービス含め)が変化に対応しているか確認する必要はある。

 IIJでは、世界各国のプライバシー保護法制の動向に関する情報や実務で使えるツール、テンプレートを提供する「IIJビジネスリスクマネジメントポータル」を運営しており、これからも自社の対応で得た知見をもとに各企業の実務対応をサポートしていきたいと考えている。