GDPRへの対応方法

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

GDPRの施行まであと50日というなかで、こういう話題がどの程度必要とされているかわかりませんが、念のため書いておきます。以下は私の個人的な見解というよりは、CNILというフランスの監督機関(DPA)が提示しているものをIAPPの資料に基づいてまとめたものです。

GDPRへの対応方法は、実は誰も正解を持っていません。条文に示された内容やガイドラインを見ながら一つずつ丁寧に対応するしかありません。2018年5月25日にすべて完了していることはおそらく難しいでしょうが、これは監督機関も理解しています。大切なのは今すぐ対応を始めることです。

【GDPR対応の6ステップ】
ステップ1:
データ保護責任者(Data Protection Officer)またはデータ保護リーダー(Data Protection Leader)を任命する

ステップ2:
データマッピングを実施する

ステップ3:
コンプライアンスに向けた行動について優先付けを行う

ステップ4:
リスクを管理する

ステップ5:
内部規定(プロセス)を整備する

ステップ6:
コンプライアンスの方法について文書化を行う

<ステップ1>
データ保護責任者(DPO)とは、GDPRで新たに導入された役割で、会社内のデータ保護についての取組みを監督する立場の人です。欧州のデータ主体を大規模に、定期的、システマチックに監視する場合等一定の要件を満たす場合、設置が必要となります。ステップ1の意図するところは、事務局となり、GDPRに準拠するための社内の活動を取りまとめる人が必要である、ということです。

<ステップ2>
データマッピングとは、自社の保有するデータを把握することです。
この作業は大きく4つのステップから成ります。

a) 社内で個人データを取り扱っている全部署、全サービスにヒアリングを行う
b) システムやアプリケーション軸ではなく、(主たる)目的ごとにデータ処理活動をリスト化する。
c) 各データ処理活動に関与するベンダーやデータ処理者を特定する
d) データの移転先や移転先のホスト、保管場所、保管期間を定める

上からもわかるように、この活動は社内の業務を目的やシステムについてすべて再確認する作業となります。経験上、この部分を外注することは困難なので、自社で取り組む必要のが長期的に見てよいでしょう。

また、データが電子的に保管されているため、システムやアプリケーションに目がいってしまうかもしれませんが、最も重要なのはオペレーション(業務)を適法化させることになります。(実際データ漏洩に対する制裁金の上限は全世界の売上高の2 % で、GDPRの原則に違反した場合と比べて低く設定されています)

データマッピングは一度行ったら終わりではなく、継続的にモニタするものです。大規模なビジネスではエクセルではなく、専用のソフトを使用するとよいでしょう。小さな組織、データ処理が複雑でない組織ではエクセルでもかまいません。

<ステップ3>
データ・マッピングの結果、自社内の保有する(欧州)個人データにはどのようなものがあるかを知ることができます。(”data inventory”、これをデータ・インベントリといいます。)GDPR対応のための土台が整っているので、次は、現在、未来にわたり何をすべきか定めるというステップに進みます。

指針となるのが、データ主体の権利と自由を保護するため何から取り組まなければならないかです。一度にすべてを行うことはできないため、優先順位をつけて対応を進めます。
CNILは、ここで以下に示す6つのステップを必ず経るよう推奨しています。

(a) 本当に必要な個人データのみを収集、処理している点を確認する
(b) データ処理の適法根拠を特定する
(c) 既存のGDPRのノーティス(通知)規定に合致するよう、プライバシー・ノーティスを見直す
(d) 取引先のベンダーにGDPRが求める新たな義務事項を理解してもらい、適切に契約書を更新する
(e) データ主体からの要求、データ主体の権利行使があった場合について、対応手順を定める
(f) データ保護策が実装されていることを検証する

具体的には、データ主体の自由と権利を侵害する度合いが高いもの(データ数、データの種類で判断します)から取り組みます。

<ステップ4>
たとえば病歴データを収集している場合、そのデータが外部に漏れるとデータ主体の就業に悪影響を与えたり、享受可能なサービスが不当に受けられなくなるようなことが考えられます。このように、自社の個人データ処理が、個人の権利と自由という観点からデータ主体に高いリスクを及ぼす場合、その処理に対してデータ保護影響評価(DPIA: Data Protection Impact Assessment)を実施しなければなりません。

リスクを特定し、リスクを低減するための手段を講じること。これがステップ4で行うことです。

<ステップ5>
リスク管理の後は、社内プロセスの整備を行います。社内の個人データの取り扱いが常に安全であるような仕組みを組織内に根付かせます。データ処理活動のライフサイクルを通じて生じうるあらゆる出来事を想定しながらプロセス化します。

社内プロセス化についてのCNILのガイドラインは以下の通りです。

– 設計、適用、実作業において、データ保護の原則が考慮されていること
– 従業員の認知を高めるための社内トレーニング、コミュニケーション計画を建てる。また必要に応じて関係する従業員や上長に情報が確実に上申される仕組みとなること
– 個人のデータ保護権に関するデータ主体のすべての要求にたいおうすること
– 監督機関や影響を受けたデータ主体との組織的コミュニケーションを確実なものとすることにより、データ侵害に備えること(これは72時間以内に対応が必要となるケースもある)

<ステップ6>
GDPRの要求に適合していることを示すためには、データ保護とデータの安全策を継続的に確実なものとするためレビュー、更新できるように、書類としてまとめておく必要があります。

具体的には以下の書類を用意します。

– データ処理活動の記録(管理者の場合)、データ処理の種類の記録(処理者の場合)
– リスクの高い処理についてのDPIA結果
– データ移転の安全性を担保するメカニズムの説明
– プライバシー・ノーティス
– 同意が適法根拠であることを示す証拠と同意フォーム
– データ主体のデータ保護権に対応するための手順書
– ベンダーやデータ処理者との契約書
– データ侵害に対する内部手順書