TOPセキュリティ > 施行が迫るEU一般データ保護規則、対応はいかに(下)

セキュリティ

施行が迫るEU一般データ保護規則、対応はいかに(下)

2018/05/11

Thor Olavsrud CIO

GDPRへの準備でCIOに必要な手順

 DeloitteのFrank氏は、GDPRの中にはずっと前から適用されていた内容も多いと指摘する。GDPRの前身は1995年の「EUデータ保護指令」で、GDPRはそれに代わる規則となる。重要度が特に大きいのは、GDPRで新たに加わった要件だとFrank氏は言う。

 その中でもとりわけ重要な要素として同氏が挙げるのは、個人情報処理のインベントリである。

 「EU市民から収集しているすべての情報、その利用方法、共有先、移転方法、保護方法についての記録が必要だ」

 さらに、データポータビリティや削除についての要件も重要だ。EU市民から要求があった時には、その人に関して自社で保持している個人データすべてを、単一のデータファイルとして生成することが義務づけられている。このファイルは、他の主体に移転可能でなくてはならない。また、要求があった場合には、その人の個人データをすべて削除できなくてはならない。OktaのSettle氏の説明では、従業員のデータも対象に含まれる。

 「社員の1人が会社に対し、自分について会社はどのようなデータを保持しているかと問い合わせ、その削除を要求して、削除した証拠を示せと言ってきたら、どのように答えるだろうか」とSettle氏は問いを投げかける。

 Frank氏は、企業のCIOや最高情報セキュリティ責任者(CISO)が考えるべき重要事項として、次の4つを挙げる。

1:個人情報処理のインベントリ。「企業や団体が必要とするデータの多くは、構造化データと非構造化データのリポジトリに保持されている。そうしたデータが格納されるインベントリを作成するうえで、IT部門は重要な役割を果たす」

2:サードパーティーのリスクマネジメントプログラム。「サードパーティーのセキュリティ評価の実施について、情報セキュリティ部門にきちんとしたプロセスがない場合、急いで対応する必要がある」

3:ポータビリティと削除。「CIOは、これをどの程度まで持っていくのかを考える必要がある。恐らく、(個人データの)保存場所として特定できるのは、数十カ所か、場合によっては数百カ所に及ぶ。それらについて、要求を受け付け、対応し、本人に返信するという一連の手順を文書化できるだろうか。リスクを承知で、多くは受け付けないと宣言するのだろうか。程度の問題はもう1つある。こうした多種多様な一連のデータソースからデータファイルを作成する技術的手段の導入や、こうした多種多様な一連のデータソースからデータを削除する機能の導入だ」

4:プライバシー・バイ・デザイン。ITの変更管理プロセスの中に、プライバシーを本質的に取り入れる手順がきちんと組み込まれるようにCIOが対応する必要があるとFrank氏は言う。これにはデータ保護のインパクト評価も含まれる。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ