GDPRの基本的な内容については、「GDPRとは何か?その概要を2分でわかる動画を用いてご紹介!」の記事で解説しましたが、本記事では企業がGDPRへの対応を検討する上での主要な7つのポイントについて解説します。

データプライバシー法に関する基本的事項


GDPRのデータプライバシー法に関する基本的事項としての基本的な目的及び原則は以下になります。

GDPRの目的

組織や企業、政府による個人情報の利用を管理することを目的としています。

GDPRの原則

個人情報に関して次の原則を定めています。

  • 個人情報の使用は公正かつ適法になされなければならない。
  • 個人情報は明示されている限られた目的以外に使用してはならない
  • 個人情報の使用は、目的の達成のために適切で関連性のあるものでなければならず、目的の達成に必要な範囲を超えてはならない
  • 個人情報は正確でなければならない。
  • 個人情報は、必要な期間を超えて保有してはならない
  • 個人情報は安全に保管しなければならない。
  • 個人情報の越境移転や取扱いにおいては所定の条件を満たさなければならない。

実施は技術的・組織的な手段によって行われます。

GDPR対応に向けた最初のステップ


GDPR規制への対応に向けた、最初のステップは以下を検討すべきです。

  • 社内のチームや社外の事業者に次の事項を行わせる。
    • 主な利害関係者への初回研修
    • 準備状況の評価
    • 推奨事項の作成と知識移転。
  • データ保護責任者(DPO)を任命する。
  • 部門長を指名し、プロジェクトチームや体制を設立する。
  • データ保護影響評価(PIA)を行う。
  • 判明した事項をもとに是正計画を作成する。
  • 定期的に進捗会議を開き、プロジェクトチームから利害関係者に状況を報告する。
  • 20185月までに是正状況を確認する。

データ保護責任者(DPO)の役割とは?


GDPRにおけるデータ保護責任者(DPO)の役割は主に以下を定めています。

  • コンプライアンス戦略、基準、ポリシーを定める
  • 所定の担当者とやりとりをし、各部署への要求事項(要件事項)を伝える。
    • 個人データに関する記録や文書の処理業務について定める
    • リスクが高い処理業務についてプライバシー影響評価(PIA)を実施する。
    • 顧客との契約をレビューする
    • データ復処理者である場合(データ処理者から委託を受けている場合)は、サプライヤー契約をアップデートする
  • 是正措置とプロジェクトガバナンスの実施に関するプロジェクト計画を策定する。
  • 職員の意識向上を図る。
    • 研修に関する要求事項(要件事項)を特定する。
    • 顧客との間や社内での積極的なコミュニケーションを促す。
    • GDPR関連の資料(戦略、ポリシー、手順、契約など)をまとめた社内ナレッジベースを用意する。

データ処理業務に関するチェックリスト


社内の個人情報を取り扱うデータ処理業務に関するチェックリストは以下になります。

  • 使用されているアプリケーションの特定
    • アプリケーションの提供事業者
    • アプリケーションに関する簡単な説明
    • 窓口担当者
  • 記録の作成と保管
    • データ処理事業者の名称、住所、連絡窓口
    • 処理の説明と目的
    • 個人データのカテゴリーとデータ主体のカテゴリー
    • 受領者のカテゴリーと越境移転の可能性(データ処理契約(DPA)などの適切な安全対策が講じられていることを示す文書を添える)
    • アクセス権と権限体系
    • データ保管方針
    • 技術的・組織的な手段の説明

データ処理業務の例


社内の個人情報を取り扱うデータ処理業務の例は以下になります。

  • 時間管理
  • 電子アーカイブへの受領書の登録
  • 専門的な教育訓練
  • 来訪者の登録・管理
  • 信用評価と与信処理
  • クラウドサービス
  • CRMERPシステム
  • eラーニングシステム
  • モバイル端末管理(MDM
  • 電子決済
  • 電子メール
  • 電子勤怠管理
  • メンバー管理
  • ニュースレター
  • 給与計算
  • 人事データ管理
  • 旅費精算
  • 外部委託
  • ソーシャルシェアボタン
  • 電話データベース
  • 予約管理
  • 研修スケジュール
  • 休暇の計画
  • 会計
  • ビデオ監視
  • ウェブフォーム、ポータル及びウェブトラッキング
  • アクセス制御システム
  • 誕生日リスト
  • マーケティングキャンペーン
  • アカウント管理
  • ヘルプデスク
  • 契約管理
  • カスタマーサービス
  • ベンダー管理
  • 請求書関連業務
  • 採用活動

 

プライバシー影響評価(PIA)とは何か?


プライバシー影響評価(PIA)とは、個人データの処理に関するリスク評価です。
データ主体の権利が侵害されるリスクが高いときや、次のような事情があるときにはPIAの実施が必要です。

  • 自動処理(プロファイリングを含む)に基づいて、ある人の個人的側面を体系的かつ広範囲に評価し、その評価に基づいて、その人に法的効力を及ぼす意思決定を行う場合
    • : 融資承認を自動化している金融機関、データ分析事業者、オンラインマーケティング会社、ターゲットマーケティング機能がある検索エンジンなど
  • 大量の機微な個人データや犯罪歴・違反歴に関する個人データを処理する場合
    • : 医療関係事業者、保険会社など。
  • 誰でも立ち入ることのできる場所で体系的に大規模な監視を行う場合
    • : 公共エリアを監視カメラで監視する現地当局、ナイトクラブやバー、レストラン、ショッピングセンターの屋外を監視カメラで監視する娯楽事業者など。

プライバシーバイデザインやプライバシーバイデフォルトの実施


社内外の処理業務、製品、サービスにおいては、設計段階から、あらかじめプライバシーに関する次のような要求事項を考慮する必要があります。

  • 扱う個人データが最低限であること。
  • 透明性が確保されていること。
  • プライバシー強化技術(PET)を適用していること。
    • 暗号化・偽名化
    • 分離
    • アクセス制御
    • 保管
  • 明確な同意を取得すること。
  • 「忘れられる権利」を確保している/匿名化を行っていること。
  • その他、必要な技術的・組織的な手段

まとめ


いかがでしょうか。本記事では、GDPRへの対応を進める上で主要な検討ポイントについて解説しました。
以下に主要な論点を記載しますが、GDPRへの対応は、すべての主要な事業部門(部署)に影響するため、組織横断的な体制作りや取り組み・ルール化が最も重要な点であると言えます。

  • 一般データ保護規則(GDPR: EU規則2016/679)とは?
    • EUデータ保護指令(1995/46/EC指令)に置き換わる。
    • 2018525日から施行された。
  • EU域内の企業だけでなく、EU居住者の個人データを処理する全ての事業者に適用される。
  • 次の両者が対象となる。
    • データ管理者: 自社の従業員や顧客などのデータの管理を行う場合
    • データ処理者: 顧客のためにデータを処理する場合
  • すべての主要な事業部署に影響する。
    • マーケティング、営業、人事、経理、購買、施設、技術、法務、サポート、事務、専門サービスなど。