リスクアドバイザリー
GDPRコラム

第8回 グローバル企業におけるGDPR対応の進め方(①プロジェクト体制整備編)

2017.09.28

前回までのコラムでは、基礎編・特別編を通して、GDPRにおける基本的な用語や概念等をお伝えしてきました。今回からは応用編として、実務対応を中心にご紹介します。
まずは、GDPR対応に取り組むA社のケースを通して、グローバル個人情報保護管理体制の構築の進め方について、①プロジェクト体制の整備、②影響調査、③GDPR要求事項の対応実施という流れでご紹介します。今回のコラムでは、①プロジェクト体制の整備に関するケースを解説します。

(1) 前提

  • A社は、国内を中心にBtoB事業を展開しているが、欧州内外に海外拠点も有したグローバル企業であり、近年は海外でのM&Aも積極的に実施中
  • 欧州において複数の国に拠点を有し、欧州の地域統括会社はオランダに所在している

(2) 個人情報保護に関する現状・課題

  • 各拠点間で人事データを共有しているが、GDPRのデータ移転対応が十分に実施できているのか、また、国内外の各拠点における個人情報の取り扱い状況がどうなっているのかについて日本本社で把握できていない

(3) 課題に対する論点の整理

  • GDPR対応に向けた社内プロジェクト体制構築の検討
  • 海外の法令であるGDPRに対し、日本本社としてプロジェクトをどのようにリードするか

(4) 課題に対する取組・対処のポイント

  • 各部門からメンバーを選出の上、プロジェクトに参画してもらい、海外拠点との間でもプロジェクトの初期段階から連携を図っていく (下表および下図参照)
表:GDPR対応のキーとなる要件、想定される部門
キーとなる要件 想定される部門
個人情報保護管理を所管している、もしくは十分把握している 経営管理部門、リスク管理部門
総務部門、コンプライアンス部門
主要な個人データを取り扱っている、もしくは把握している 主要ビジネス部門、情報システム部門
国内外の個人情報保護に関する法規制について理解がある 法務部門
海外のグループ会社を管理監督する立場である、もしくは連携している 海外事業部門

図:プロジェクト体制の例

(下の図をクリックすると拡大します)

※PMO:プロジェクトマネジメントオフィス(Project Management Office)
組織全体のプロジェクトマネジメントの能力と品質を向上し、当該プロジェクトが円滑に実施されるよう支援することを目的に設置される専門部署。

以上、体制整備に関するケースのご紹介でした。次回のコラムでは、「各拠点における対象データの特定と情報管理状況の理解」をテーマに、②影響調査に関するケースをご紹介します。


GDPRコラム

【関連ページ】


情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?