TOPセキュリティ > 施行が迫るEU一般データ保護規則、対応はいかに(下)

セキュリティ

施行が迫るEU一般データ保護規則、対応はいかに(下)

2018/05/11

Thor Olavsrud CIO

 欧州連合(EU)の一般データ保護規則(GDPR:General Data Protection Regulation)は、2018年5月25日に施行となる。皆さんの会社は、GDPRへの準備が整っているだろうか。

前回から続く)

 次の一歩は、すべての個人データ処理について、最新の正確な詳細情報を提供できるよう、記録を保持しておくことだ。この要件は以下の場合に適用される。

  • 企業や団体の従業員が250人以上の場合

  • 企業や団体の従業員が250人未満だが、その個人データ処理がデータ主体の権利と自由にリスクをもたらす可能性がある場合、データ処理が散発的ではない場合、データ処理の対象に特別カテゴリーの個人データが含まれる場合、または、有罪判決および犯罪に関連するデータの場合

 企業や団体に課せられる要件は、個人データの管理者(controller)と処理者(processor)のどちらであるかによって異なる(両方を兼ねる企業や団体も多い)。管理者とは、個人データ処理の目的と手段を決定する主体。処理者とは、管理者のために個人データを処理する主体だ。全般にGDPRは、同意の取得、同意の撤回の管理、個人データにアクセスする権利の実現に関しては、データ管理者にその責任を課している。また、GDPRを満たしているデータ処理者を選ぶこともデータ管理者の責任だ。

 GDPRの対象となるデータを特定し、保持しておく必要がある記録や、データをどこでどのように処理しているかを確認できたら、次は、GDPRの要求事項に対するギャップ分析を実施して、現在の遵守の水準を明確化する。これにより、GDPR遵守プログラムの範囲や、遵守のために着手する必要がある主な活動を見極めやすくなる。

 ISFのGDPR Implementation Guideでは、以下を検討することによってGDPR遵守のギャップ対応の優先順位を見極めることを勧めている。

  • 高リスクとなる可能性が高い個人データ処理(例えば、特別カテゴリーの個人データ、有罪判決や犯罪に関するデータ、子供に関する個人データ)

  • 監督機関から大きな罰を受けるであろう特定分野での違反

  • 長い期間を要する可能性がある変更(例えば、システム開発が必要な変更、新しいITサービスの調達を伴う変更、大幅な実装を伴う変更など)

  • 自社のリスク選好にそぐわない手法

↑ページ先頭へ