インターネットイニシアティブ(IIJ)は2018年3月19日、GDPR対応の支援サービスを拡充し、クラウド型のGDPR対応支援アプリケーションや、特定の企業で設置が義務付けられているDPO(データ保護責任者)のアウトソーシングサービスを発表した。順次提供を開始する。
写真1●インターネットイニシアティブ 経営企画本部ビジネスリスクコンサルティング部長 小川晋平氏拡大画像表示
IIJはこれまで、企業のGDPR対応を支援するコンサルティングサービスを提供してきた。今回、GDPR対応サービスのラインアップを拡充した。自社の対応状況をチェックできる無料の簡易アセスメントからGDPRの運用代行サービスまで、提供できる範囲を広げた。
IIJが実施したアンケートでは、90%の会社がGDPR対応の進ちょく率が50%以下と回答した。「ほとんどの企業はGDPR対応が進んでいない」(経営企画本部ビジネスリスクコンサルティング部長の小川晋平氏)。
(1)新サービスの1つが、GDPRの運用を代行する「IIJ DPOアウトソーシングサービス」である。条件に合致した場合にデータ保護監督機関から選任を義務付けられるデータ保護責任者(DPO)を、IIJにアウトソースできる。
図1●IIJ DPOアウトソーシングサービスの概要(出所:インターネットイニシアティブ)拡大画像表示
データ保護責任者(DPO)には高い独立性と権限があるため、個人情報の取り扱いに関連する部署の役職者が兼務することは認められない。このため、社内から適任者を選任することが困難となっている。本サービスでは、IIJの専門スタッフがDPO業務を請け負う。
IIJ DPOアウトソーシングサービスは、2018年4月9日から提供する。価格(税別)は月額120万円で、初期費用が200万円。コンサルティングサービスを契約済みの場合は初期作業が減るので、初期費用は50万円。販売目標は、2018年度に25社。
初期作業時には、ユーザーがこれまでに用意したGDPR対応のための書類一式を基に、運営計画とタスクを整理して決定する。例えば、DPOチームの構成、DPOチームとしての年次計画、週次、月次の定常確認事項などを決める。
日々の運用の内容は、以下の通り。
- 各部門・拠点におけるプライバシー保護状況の監視・対応報告と是正策のアドバイス
- 個人データ取り扱い拠点の現地監査・是正アドバイス
- 4半期ごとの経営陣への報告
- 計画に基づいた個人データ保護教育の展開
- データ主体(従業員含む)からの問い合わせ対応
- 監督機関からの問い合わせ対応・監督機関への相談
- 次年度の計画策定
- 個人データ侵害時の監督機関への連絡(非定常業務)
- DPIAへのアドバイス/監督機関への事前相談(非定常業務)
(2)新サービスの1つが、GDPR対応を支援するグループウェア型のクラウドサービス「IIJコンプライアンスプラットフォーム for GDPR」である。自社のGDPR遵守状況と対応状況の進ちょくを可視化する。個人情報を取り扱う社内システムを登録するだけで、その後はガイダンスに従って分かりやすく作業を進めていけるという。
2018年3月26日から提供する。価格は、登録システム1つで月額10万円。2システム以降は、1システムにつき1万2千円を加算する。初期費用は30万円。「IIJビジネスリスクマネジメントポータル」のアドバンスト会員(月額1万5000円)の場合は、登録システム1つで月額10万円。2システム以降は、1システムにつき1円を加算する。初期費用は10万円。販売目標は、2018年度に50社。
IIJコンプライアンスプラットフォーム for GDPRは、(1)のIIJ DPOアウトソーシングサービスにおいても、運用のプラットフォームとして利用する。IIJ DPOアウトソーシングサービスには、IIJコンプライアンスプラットフォーム for GDPRのライセンス(10システム登録分)が含まれる。
IIJコンプライアンスプラットフォーム for GDPRのメニューは、以下の通り。
| カテゴリ | 機能 | 概要 |
|---|---|---|
| 準備 | 設定 | DPOの指名や組織構造、データを扱うにあたってのポリシーなどを設定する |
| システムとデータフローマップ | 組織のシステム、サードパーティの処理者をマッピングする | |
| 評価 | データ処理 | データ処理コンプライアンスアセスメントを実施する |
| 第三者組織の関係 | 各第三者組織の関係のコンプライアンスを評価する | |
| 第三国移転 | 第三国移転保護措置のギャップを評価する | |
| セキュリティ | セキュリティ評価を実施する | |
| 達成と維持 | GDPR未対応項目 | GDPR未対応項目の追跡、管理および解決を行う |
| プライバシーノーティス | プライバシーノーティスの制定と維持を行う | |
| サードパーティのコンプライアンス監査 | サードパーティのコンプライアンスを評価し、適用できる監査を管理する | |
| 侵害通知 | データ侵害の発生時に、侵害通知を提供する | |
| プライバシー・バイ・デザイン | データプライバシーの影響評価 | DPIAの実施と監視を行う |
| レポート | 報告資料を自動生成する | |
| サポート | 不明な点については、IIJの担当者が対応する | |
画面1●GDPR適合簡易アセスメントで表示するレーダーチャートの例(出所:インターネットイニシアティブ)拡大画像表示
(3)新サービスの1つが、無料で利用できる「GDPR適合簡易アセスメント」である。GDPR対応に関する5カテゴリ25問の質問に回答するだけで、自社の取り組み状況を簡単にアセスメントできる。結果はレーダーチャートで可視化できるので、未対応の項目を視覚的に理解し、対策立案に役立てることができる。
IIJビジネスリスクマネジメントポータルのオプション機能として、2018年3月19日から無料で提供する。前提となるIIJビジネスリスクマネジメントポータルの利用料金は、無料会員が無料、ベーシック会員が月額3480円、アドバンスト会員が月額1万5000円。ベーシック会員とアドバンスト会員は、現状の対応状況をレーダーチャートで確認できるだけでなく、各項目ごとの推奨対応コメントを閲覧できる。
