昨今、各国・地域においてプライバシー保護や域外事業者による不適切なデータ取扱いの取締まりを目的としたデータ越境移転に関する規制の厳格化が進んでいます。一方、企業においてはデータ集約やDXの必要性を背景として、SaaS等の利用によるデータ移転は不可欠な状況となっています。KPMGはデータ越境移転に関する豊富な知見を基に、システム導入に伴う個別の規制対応からグループ横断的な移転プロセスの策定まで幅広く支援します。
データ越境移転を取り巻く状況
グローバル企業におけるグループ横断的なデータ流通・利活用は、国・地域を跨いだデータ越境移転が前提となっています。一方で、EU一般データ保護規則(GDPR)や中国データ三法を筆頭に各国・地域におけるデータ越境移転規制の厳格化が進んでいるほか、安全保障や技術流出の観点からガバメントアクセス(※)の懸念も高まっている状況であり、企業には流通データの活用と保護の両立が求められています。
企業における課題
越境移転規制への対応は、正確なデータ移転状況の把握をしたうえで移転元の規制を勘案することが要求されており、多くの企業において以下の課題が存在するものと考えられます。
データ越境移転規制対応のコンセプト
前述の課題認識のもと、KPMGはデータ流通状況の把握を前提に適用される各国・地域の規制要求事項への対応の共通化が最も重要なポイントであると捉えており、これにより効果的かつ低コストな対応の実現を図ります。
支援の流れ
KPMGは、以下のステップでデータ越境移転規制対応を支援します。特定システム導入に伴う越境移転規制対応を基軸とした全社的、グループ横断的なプロセス構築の支援も可能です。
| ステップ | 1.現状分析・データフロー把握 |
2.規制要求事項の整理・対策の検討 |
3.対策の実装・定着 |
|---|---|---|---|
| 実施事項 |
|
|
|
| 提出物等 |
|
|
|
ステップ1:現状分析・データフロー把握
グループにおけるデータ流通状況の全体像と流れを把握し現状分析を行います。移転元/先の国・地域だけでなく、データ主体やそれを取り扱う従業員・業務委託先などの関係者を網羅的に整理することで、後続ステップにおいて対策が必要な対象の明確化が可能となります。
ステップ2:規制要求事項の整理・対策の検討
ステップ1で特定した国・地域における越境移転規制とその要求事項を整理します。越境移転規制においては、国・地域外へデータを移転する際に要求事項が定められているため、整理・横並びで検討のうえ、対策の共通化が可能な移転条件(保護措置)を選択します。
ステップ3:対策の実装・定着
データ越境移転における対策の実効性と継続性の向上を図ります。すでにデータ越境移転の枠組みを整備している企業に対しては、新規事業や大規模な移転が想定される事業など、難易度の高いケースのサポートや、既存のルール・プロセスに対する評価を実施することも可能です。
KPMGによる支援の特長
| 背景 | 利害関係者が多岐にわたるため慎重な判断が必要 | 各国・地域法規制/情報セキュリティの専門知識が必要 | 海外拠点の動向も勘案した対策が必要 |
|---|---|---|---|
| 特徴 | プロジェクト推進: 横断的に推進するため、英語でのコミュニケーションスキルおよびプロジェクト管理の豊富な経験を有する人員による支援が可能です。 |
豊富なナレッジ: データ保護規制の要求事項に基づく現実的で有効な対策を提案するため、現地の法規制に加え情報セキュリティについても深い知見を有するメンバーでチームを構成します。 |
グローバルネットワーク: KPMGのネットワークを活かし、他社事例や現地慣行を踏まえて検討します。必要に応じて海外拠点にKPMGの現地法人が直接支援することにより、不要なリードタイムを削減します。 |
