「データ保護規制の最前線」第10回目。
個人データ保護規制の動きが世界で拡がる中、グループガバナンス体制構築における実務対応について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
グローバル企業のデータガバナンス強化
欧州一般データ保護規則(GDPR)、日本の改正個人情報保護法など、自国外への事業者にも適用を求める個人データ保護規制が世界各地で制定されている。製品・サービスをグローバルに展開する会社にとって、こうした各国規制における「域外適用」に対応するためのカギとなるのが、個人データ保護に関するグループガバナンス体制の構築だ。自国外における法規制への対応を個社別に行うことはグループ全体として見ると非効率であるため、グループ各社間の密な連携が重要となる。
GDPRなど各国規制では、データ保護責任者(DPO)の設置を求めている。他業務との兼務の制限、現地在住者や役員であることなど、各国の固有要件に対応するため、選任に苦労した企業が多いとみられる。
既存のセキュリティ責任者やシステム管理責任者、監査責任者らに加え、新たにDPOも選任する「責任者」の乱立により、混乱をきたしている企業も少なくない。
ガバナンス体制構築では、それら責任者の整理が大きな課題となる。まずは要件や役割を見直し、統廃合して整理することが望まれる。
責任者間の円滑なコミュニケーションに向け、本社と関係会社のレポートライン(報告経路)の明確化も不可欠だ。特に海外では日本人駐在員の存在が重要なファクターとなる。たとえ事業担当として駐在している場合でも、現地担当者とともに個人データ保護をサポートする役割も担わせることで、本社・関係会社間の文化的・言語的な障壁を取り除くことが期待できる。
昨今、テクノロジーの変革に伴うデータ取扱い形態の変化を後追いするように個人データ保護規制の改正が進んでいる。それらの状況を理解するには膨大な工数がかかり、本社のみで網羅的に把握することは現実的ではない。もし、グループ会社に地域統括拠点がある場合は、域内の関係会社の管理のみならず、現地の法規制に関する情報提供でも協力を得ることで負担も減らして漏れなく情報を更新できる。
グループ会社とは有事の際だけでなく定期に情報交換の会議を行い、日頃からグループにおけるデータ取扱い状況の把握や見直しが行える関係性を維持すべきだ。
世界各地に拠点を有するグローバル企業では、本社がグループ全体の方針企画・管理・評価・改善を担い、グループ各社はそうしたグループ方針に基づき社内のデータ保護に責任を負う体制が理想的だ。本社機能としてグループ全体のリスクを俯瞰的に把握することで、限られたリソースを高リスクの重要な案件に充てることが可能となる。本来あるべきタスクに注力することで、継続して効果的にリスクを低減できる。
執筆者
KPMGコンサルティング
マネジャー 嶋村 公志
日刊工業新聞 2021年12月10日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。