GDPRとCCPAコンプライアンスジャーニーサービス領域:法規制対応_法令遵守管理体系構築

案件サマリー

欧州中心に18カ国に渡りオペレーションを行う、消費財メーカーでOXYGYの母体となる弁護士事務所、Bird & BirdによりGDPR、CCPA (カリフォルニア州消費者プライバシー法)についてのコンプライアンスレビューを行っていた。その中で、法務、IT、データガバナンスを中心にコンプライアンスを達成するためのチェンジマネジメントやプロジェクトマネジメントの必要性が指摘され、OXYGYに依頼を頂いた。しかしながら、プロジェクトとしては活動が始まりながらも、このプロジェクトに真にコミットするスポンサーが実質不在の状態であった。

アプローチ

本取り組みの開始と前後し、クライアント社内では新しいデータマネジメントソフトウェア(OneTrust)が導入されていた。このソフトウェアの活用には、システム開発という側面と、使用者側のスキル構築が必要とされ、そのどちらもデータへのアクセスが発生する状況であった。この状況で、OXYGYは「コンプライアンスはこうであるべき」というアプローチを取らず、企業文化や風土も含めた全体的な視点で課題解決に取り組んだ。ソフトウェア開発側では、共に腕まくりをするアプローチで開発チームのプログラムマネジメントオフィスにOXYGYコンサルタントを貼り付け、業務フローの見える化を行いながら、リスクを洗い出しつつ、その意味や重大性を啓蒙した。また、データプライバシーというコンセプトを啓蒙しながら、社内体制構築そのものを支援した。各国でのオペレーションを改善しながら、同時に各国内及び本社との連携の中で、データガバナンスも確立した。

取組成果

法令対応として必要なコンプライアンス関連のドキュメントの全てを整備しただけでなく、実際にコンプライアンスを遵守するための仕組みみを確立できた。例えば情報漏えい等の問題が実際に発生した際の対応をマニュアル化するだけでなく、プロセスとしても落とし込み、文書が存在するだけでなく、実際の当局対応、発生したリスクの軽減、そもそもリスクが発生しにくいプロセスを設計し、業務を改善することまでを実施。GDPR対応として、成功したという評価を頂き、その後CCPAに対しての対応でもOXYGYに取組支援のご依頼をいただくことにつながった。