アドバイザリー
GDPRコラム

第9回 グローバル企業におけるGDPR対応の進め方(②影響調査編)

2017.10.20

前回のコラムでは、体制整備に関するケーススタディをご紹介しました。今回は、②影響調査の実施について解説します。

(1) 前提(第8回における前提と同様)

  • A社は、国内を中心にBtoB事業を展開しているが、欧州内外に複数の海外拠点も有したグローバル企業

(2) 個人情報保護に関する現状・課題

  • PMOは、A社グループ全体におけるGDPRの影響を把握できていない

(3) 課題に対する論点の整理

  • GDPRの影響を把握するために必要な調査項目の洗い出し
  • 漏れなく調査を実施するための事前準備

(4) 課題に対する取組・対処

  • PMOは、GDPRの影響度を把握するために必要な観点を次のとおり整理した
表:GDPR影響度の観点(例)
分類1 GDPR適用対象となる地域における拠点の有無
分類2 GDPR適用対象となる活動の有無
分類3 EU拠点からのデータ移転有無

GDPRは、当該企業がEU域内に所在していなくとも、上記表の分類2,3の例のようにEU居住者の個人データを取扱う場合、影響が及ぶことになり、上記の観点を、調査表を作成する担当者が適切に理解の上、記載してもらう必要があります。PMOは、影響調査の実施説明会を開催することにしました。

図:GDPR影響範囲のイメージ図

(下の図をクリックすると拡大します)

各社で取扱う個人情報の概要を把握するための調査表1に加え、現状の個人情報保護管理体制の把握に関する調査を行うための調査表2も作成しました。データの洗い出しと共に、現状の規程の整備状況や運用状況の概要を調査し、改善(GDPR対応)に向けたギャップを把握するためです。

表:調査表1(個人情報取り扱い状況)のイメージ

(下の図をクリックすると拡大します)

表:調査表2(個人情報管理体制の把握用)イメージ

(下の図をクリックすると拡大します)


以上、影響調査に関する実施例のご紹介でした。次回のコラムでは、「EU域外移転への対応(SCC締結)」をテーマに、③対応実施に関するケーススタディをご紹介します。


GDPRコラム

【関連ページ】



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?