2018年11月12日、インターネットイニシアティブ(IIJ)は、EUにおける個人情報保護の枠組みを規定した「一般データ保護規制(GDPR:General Data Protection Regulation)」への対応を支援する4つのサービスを新たに開始した。
GDPRは、EUにおける個人データの処理および移転に関して満たすべき法的要件を規定するEU法で、違反した企業には2000万ユーロ以下、または全世界年間売上高の4%以下のいずれか高い額を上限とする制裁金が課せられる可能性がある。2018年5月25日に施行されたが、いまだ日本企業はGDPRへの対策が大幅に遅れており、実際に国内でGDPR違反の可能性がある事例が出てくるなど、平時、有事含めたさらなる対策の推進が求められているという。これに対して、従来からGDPR対応のコンサルティングを提供するIIJでは、日本企業のGDPR対応を支援するサービスとして、新たに「IIJ EU代理人サービス」、「IIJ GDPR有事対応支援サービス」、「IIJ GDPR対応状況セカンドオピニオンサービス」、「DCR Cookie Auditサービス」の提供を開始した。
- IIJ EU代理人サービス
- EU域内の弁護士、当局対応経験者を中心とした代理人を揃え、IIJ EU代理人サービスを提供する。欧州経済領域(EEA)に拠点を持たない企業が、欧州所在者の個人データを取り扱う場合、EEA域内に、監督機関およびデータ主体とコミュニケーションを行なう窓口となる「代理人(Representatives)」を選任する義務が発生する。本サービスでは代理人を選任し、ユーザーと取次ぎを日本語でサポートしながら、監督機関およびデータ主体からの問い合わせに対するアドバイスや対応を行なう。
- さらにデータ主体からの問い合わせに関してEU公用24言語へ翻訳するWidget(Webブログパーツ)をオプションで提供する。サービス開始段階でサポートしている言語は、英語、フランス語、ドイツ語、スペイン語の4言語。国は、アイルランド、イギリス、オーストリア、オランダ、スペイン、ドイツ、フランス、ベルギー、ルクセンブルクの9ヵ国で、今後リクエストに応じて、対応できる国を追加していく予定となっている。
- IIJ GDPR有事対応支援サービス
- EEA域内において個人データの侵害もしくは侵害の恐れが生じた場合に、事後対応を支援するサービス。対応方針の策定から体制構築、監督機関・データ主体への報告書作成まで、有事の緊急対応を支援する。
- IIJ GDPR対応状況セカンドオピニオンサービス
- ユーザー自身が実施もしくは他社で作成したGDPR対策および関連ドキュメントについて、文書類や対策状況などに過不足がないかをレビューする。内容が不十分であったり、追加で準備が必要な書類等については、必要に応じて改善案や対策方針を提示したり、実際の対策を支援することも可能になる。
- DCR Cookie Auditサービス
- GDPRに続く新たなプライバシー法として、電子通信分野の個人情報保護を目的とした「eプライバシー規則」の実施が予定されており、施行された場合には、必須クッキー等取得が許可されたもの以外、Webサイトでのクッキーによるデータ収集については、ユーザの能動的な同意が必須となる。DCR Cookie Auditサービスは、英国のDigital Control Room社が提供するクッキー同意管理サービス。WebサイトにJavaScriptを埋め込むだけの簡単な実装で、クッキーポリシーの告知や同意取得を実現できる。IIJは本サービスの国内一次総代理店として、チャネルパートナー経由で販売する。
IIJでは、すでに提供中の「GDPRアドバイザリーサービス」においてサービスをリニューアルし、2017年6月に中国で施行された「中国サイバーセキュリティ法」へのアドバイスを開始。サービス名称も「IIJビジネスリスクアドバイザリーサービス」に変更するとともに、今後はアメリカ カリフォルニア州で施行が予定されている「カリフォルニア消費者プライバシー法(California Consumer Privacy Act)」についても対象に加えるなど、順次サービスを拡充していくという。