日本の AvePoint ブログ読者の皆様、こんにちは。AvePoint オーストラリア支社でコンプライアンス テクニカル スペシャリストを務めております Esad Ismailov です。

去る 2017 年 8 月 23 日、AvePoint Japan にて、「データ保護を運用化する」 と題した GDPR 対策セッションを持たせていただきました。セッションでは、プライバシー・セキュリティ・IT の観点から、どのように GDPR (欧州一般データ保護規則) の要件に備えるべきかについて解説しました。

GDPR が発効となる 2018 年 5 月はすぐそこまで迫っています。多くの企業組織が既に対策・ソリューション導入に向けて動きはじめ、効果的な対策方法を模索している中、AvePoint のコンプライアンス ソリューションがどのようにお役に立てるかを日本のお客様やパートナー様にお話することができ、とても光栄でした。

※AvePoint の GDPR 対策ソリューションについては こちら からご覧いただけます (PDF)。

今回のブログでは、「GDPR 対策はどこから手を付けるべきか」 とお悩みのプライバシー・IT 担当者様への 5 つのヒントを、会場でお話させていただいた内容から提示したいと思います。

GDPR がもたらす最大の問題

GDPR の特徴としてしばしば挙げられるのが、他のどのデータ保護法よりも適応範囲が広いことです。

EU (欧州連合) で設立されたか拠点を置いているかしている企業組織のみならず、非 EU 圏の企業組織であっても、EU 圏の住民のデータを作成・収集・保存・共有・使用する場合は対象となります。

すなわち、EU 圏の住民のデータを扱う日本企業にも、GDPR が定める要件へのコンプライアンスが求められるということになります。

GDPR が企業組織に与える影響

今回のセミナーに限らず、GDPR に関するセッションでお客様に最も驚かれるのが、GDPR 違反によって発生するペナルティの大きさです。

違反が発生した場合、最大で企業の全世界における年間売上高の 4%、もしくは 2000 万ユーロ (約 26 億円) という莫大な制裁金が課されます。このため、自社のコンプライアンス関連アクション、記録保存体制、適切なデータ インベントリの維持、データ マッピング等に加え、必要に応じてデータ保護担当者を雇用するなどのアクションが必須となります。

今日からはじめる! 企業組織の GDPR 対策 5

世界に企業組織は数多く存在しますが、規模・業態・そこで働く人々・影響を受ける規制や法律などを考えたとき、ひとつとして 「全く同じ」 企業組織は存在しません。これは、GDPR がどのように影響するか・どのような対策を取ればよいかも、各企業組織が自らのニーズに応じて考えなくてはならないということを意味します。

しかし、どのような対策が必要であるかを決定するために行いたいアクションはある程度共通しています。まずは以下に挙げる 5 種類の対策から着手してみることをお勧めします。

1. 現行の内部ポリシー・情報取り扱い手順を見直す

企業の内部ポリシー・手続きを見直し、GDPR に準拠する形に変更するべき内容があるかどうか精査してみましょう。

GDPR ではアカウンタビリティ (説明責任) に重点が置かれているため、内部ポリシーやデータ取り扱い手続きが GDPR に沿ったものであること、そして外部機関に対してそれを証明できることは非常に重要です。

2. 適切なデータ保護担当者 (DPO) を任命する

データ保護担当者 (DPO) を任命する、もしくはコンプライアンスとプライバシーの責任者を務めるメンバーを選定するか、雇用しましょう。

担当者の認定も、「GDPR に準拠している」 ことを証明する上で重要なプロセスのひとつです。

3. プライバシー・バイ・デザインとセキュリティ・バイ・デザインの文化を組織・企業に醸成する

個人情報を扱う新規システム・プロセス・アクティビティを導入する際は、データ保護影響評価 (DPIA) を必ず実施します。

DPIA は、既存リスク・潜在的なリスク両方の検知・対応に威力を発揮します。

新プロジェクトや新システムを始動させる前に、「潜在的リスクにはどのようなものがあるか」「万が一の際にはどのように対策すればよいのか」 を理解することができ、よりよいデータ保護体制の構築に貢献します。

4. 個人からの情報要求への対応準備をしておく

データ主体からのアクセス要求 (DSAR) や、米国の情報自由法 (FOIA) に基づく個人からの情報要求への対応準備をしておくことは非常に重要です。

個人からの要求があった場合、以下の情報を

• 要求者のデータが処理されていることの確認
• 自分のデータへのアクセス

企業組織がこのような要求を受理した際には、要求者の情報の所在、およびデータ システム内に保存されている要求者の情報をすべて発見し、1 ヶ月以内に回答を出す必要があります。

この期限の短さや手間の煩雑さを考慮すると、DSAR 等の要求への対応として情報検知の自動化を取り入れることが望ましいと考えられます。

また、自動化の導入は、データのライフサイクル全体を通した適切な扱い、および適切なデータ インベントリとデータ マッピングの維持に役立ちます。

データの分類が企業組織にもたらすメリットは、GDPR をはじめとした個人情報保護法規制対応にとどまりません。情報の価値の正確な把握から、ビジネス プロセスの改善、データ保護・アーカイブ・レコード管理要求対応など、自動化で改善することができる運用管理関連タスクは数多く存在します。

5. プライバシー対策に組織全体で取り組む

プライバシーは 「誰かが何とかすればよい問題」 ではなく、企業組織で業務にあたる全員が自分の問題として取り組むべき問題です。

全員にそれぞれの業務上の役割と責任を理解してもらう環境・体制を整えることは、最もコスト パフォーマンスが高く、不必要なリスクの抑制に貢献する対策といえます。

日本企業の GDPR 対策を支援します!

AvePoint では、急ピッチで GDPR 準備・対策を進める日本企業のお客様に、グローバルで培った知見を活かした支援を提供すべく、GDPR キャンペーンを立ち上げました。
◎GDPR 特設ページ: http://avepoint.co.jp/gdpr/

今後も当ブログをはじめとする各種媒体で GDPR に関する情報を発信していく他、効果的な対策のための勘所をまとめた無料の eBook シリーズなど、GDPR 対策に今日から役立てていただけるコンテンツを数多く揃えていく予定です。