GDPRの継続的な運用を可能にする管理体制とは
「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第4回 - GDPRの継続的な運用のために必要な管理体制構築について、3つの観点から解説する。
「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第4回 - GDPRの継続的な運用のために必要な管理体制構築について、3つの観点から解説する。
GDPRの要求事項
一般的なコンプライアンス対応と同様に、GDPRにおいても継続的な運用が可能な管理体制の構築が必要である。運用の取組みとして、順守状況の監査、点検による見直し、整備したルールを現場に浸透させるための教育の観点から解説する。
GDPRの第5条「原則」において、「管理者は(中略)その順守を証明可能にしなければならない(アカウンタビリティーの原則)」と規定されており、欧州連合(EU)在住者の個人データを保有する組織は、内部監査などによって自組織がGDPRの要求事項に対して順守していることを確認する必要がある。
GDPR順守状況に関する内部監査をする場合、既に実施されている個人情報保護監査や情報セキュリティ監査と類似する内容となることが想定されるため、監査項目が重複しないよう調整することが重要である一方、GDPR特有の要求事項である域外移転への対応やデータ保護影響評価の実施状況などについては、確実に確認する必要がある。
GDPRにおけるセキュリティに関する要求事項は、第32条「取り扱いの保護」において、「さまざまな可能性および重大性のリスクを考慮し、保護レベルをリスクに見合ったものにするため、適切な技術的および組織的対策を実施しなければならない」と規定される。
個人データの仮名化および暗号化、機密性・完全性・可能性の確保などについて要求されているが、実施すべきセキュリティ対策の具体例までは示されていない。
ENISA公表のガイドライン
そのため、EU個人データを保有する組織が自組織のセキュリティ対策について点検するためには、セキュリティ対策に関する国際的なガイドラインを参考にするとよい。中でもGDPRにおけるセキュリティ対策については、EUの機関であるENISA(欧州ネットワーク・情報セキュリティ機関)から公表されているガイドラインが参考になる。当該ガイドラインは、EU在住者に関する個人データを保有する情報システムをリスクの大きさに応じて3つのレベルに分け、レベルごとに順守すべき事項が記載されている。
GDPRの周知・教育の必要性
GDPRを順守するためには、従業者らへの周知や教育が必要であることは当然であるが、特にDPO(データ保護オフィサー)に対しては、第38条「データ保護オフィサーの地位」に「管理者および取扱者は(中略)データ保護オフィサーの専門知識を維持するのに必要な資源を提供することによってなされるものとする」と規定されており、組織はDPOが自らの役割を担うために必要となる知識を維持する機会を確保することが要求されている。
DPOに要求される役割は多岐にわたる上に、当該役割の遂行に際しては、自組織における個人データの利用プロセスなどについても熟知することが望まれるため、体系的な教育制度を整備する必要がある。
ENISA「個人データ処理に係るセキュリティガイドライン」
組織的対策
| セキュリティマネジメント | 個人データ保護のためのセキュリティポリシー・手順書 |
|---|---|
| 役割・責任の定義 | |
| アクセスコントロールポリシー | |
| リソース・資産管理 | |
| 変更管理 | |
| データ処理手順 | |
| インシデントレスポンス、 事業継続計画 |
インシデントハンドリング/個人データ侵害 |
| 事業継続計画 | |
| 人事管理 | 従業員機密保持 |
| トレーニング |
技術的対策
| アクセス管理 | |
|---|---|
| ログ・モニタリング | |
| 保管データのセキュリティ | サーバー/データベースセキュリティ |
| ワークステーション(端末)セキュリティ | |
| ネットワーク/通信セキュリティ | |
| 個人データのバックアップ | |
| モバイル/ポータブルデバイス(ノートPCを含む) | |
| システム開発ライフサイクルセキュリティ | |
| データ破棄 | |
| 物理セキュリティ | |
執筆者
KPMGコンサルティング
ディレクター 宮原 潤
日刊工業新聞 2018年10月31日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。