プラクティス1-3 海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
従業員数10,000名規模の精密機器メーカーであるC社は、北米、欧州、ASEAN地域の6カ国に12の製造拠点(現地法人)を有しているが、各国のコンプライアンス対応はこれまで各拠点任せになっており、現地での対応状況に差が生じていた。ある拠点で製品サポートを提供した顧客情報に管理不備が見つかり、意図しない漏えいの恐れがあるとのことで、現状の運用に問題があると考えた法務部門と海外事業部門からの指摘を踏まえ、危機感を抱いた経営層は本社CISOを中心に対応を指示した。
C社の実践のステップ
CISOとサイバーセキュリティ推進部が各拠点の事情を踏まえ実践したステップは以下の3点である。
- ①個人情報保護コンサルティング・監査サービスを提供する事業者の助言を受け、拠点立地国の個人情報やプライバシー情報の保護に関する要求事項(例:欧州GDPR)を整理した上で、現地に対策を委ねることが困難な拠点を洗い出し、当該拠点毎のチェックリスト(例:個人情報を定められた場所に保存しているか、保管期限を経過した情報を削除しているか等)を作成
- ②①のチェックリストを用いて、本社の支援のもと各拠点担当者が定期的な自己点検を実施
- ③情報セキュリティ対策に関する内部監査で②の遵守状況を確認し、必要に応じて是正を指示
C社の実践内容
C社が実践した取組内容は次の通りである。
- 現地でのコンプライアンス対応に関しては、個人情報保護コンサルティング・監査サービス事業者の助言をもとに、現地法制度だけでなく、個人情報の格納場所(クラウドストレージ設置国の特定が求められる場合を含む)をチェックするなど、実務上の問題となり得ることを幅広く洗い出した。
- 拠点毎のチェックリストの作成に際しては、現地スタッフにとってわかりやすい内容となるよう、正確性を担保しつつ現地の商習慣、スタッフの役割等を考慮し各業務内容に沿った記載とした。
- 内部監査の実施に関しては、作成したチェックリストで拠点が自己点検を実施し、本社がその自己点検結果を監査することで監査要件を確保した。
表1 C社の海外拠点における情報管理上のコンプライアンス対応に関する役割分担
対策策定フェーズ | 運用フェーズ | |
---|---|---|
海外拠点 |
|
|
本社 |
|
|
外部事業者 |
| - |