GDPR順守のために必要となるマネジメントシステム構築
「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第2回 - 企業がGDPRを順守するために必要となる管理体制の構築について、ポイント別に解説する。
企業がGDPRを順守するために必要となる管理体制の構築について、ポイント別に解説する。
個人データの記録作成義務
GDPRでは、個人データを取り扱う事業者に厳格な管理とアカウンタビリティーを強く求めている。
個人データの取扱いについては、記録の作成が義務付けられており、特にリスクの高い取扱いを行う場合には、“事前に”その影響評価を行わなければならない。
よって、GDPRを順守するためのマネジメントシステムを構築するには、企業グループ内で新たな個人データの取扱いが行われる前に、管理部門でその予定を把握できるようにしておくことが重要だ。年に一度の棚卸しで実態を把握するだけでは十分でなく、新たな取扱いを承認するプロセスの中で管理部門がチェックする仕組みを組み込んだり、あるいは現場からの報告をルール化したりするなどの対応が必要になるだろう。
報告された取扱い事案については、管理部門でリスクレベルの評価を行い、一定以上のリスクが残存する場合には法令の求めるデータ保護影響評価(DPIA)を実施することになる。DPIAについては、この連載の後半で解説する。
GDPRでは透明性の確保が重要
また、個人データの取扱いを開始する場合には、個人データを提供する本人(データ主体)への十分な情報提供と、本人が自らの権利を行使することのできる手段の提供が必要となる。
オンラインでのコミュニケーションだけでなく、インターネットにつながるさまざまなセンサーやIoT(モノのインターネット)機器などが日々大量の個人データを生み出し続けているデジタル社会においては、従来の正誤確認のための開示請求対応だけでは不十分だ。
GDPRでは、本人の希望により、個人データを汎用的な形式で本人へ渡すことや、本人の指定した送付先へデータを移送することなども求められる(データポータビリティの権利)。また、収集されたデータが全体としてどのように使用され、どのようなロジックで本人の属性や傾向の推定(プロファイリング)が行われるのかを、プライバシーポリシーなどに明示して透明性を確保することも重要だ。
GDPRでは、プロファイリングに基づく自動意思決定が行われる場合、それを拒否することもできるように、本人が選択できる手段を提供しなければならないことになっている。
同意後の個人データの削除
過去に本人から同意を得ている取扱いであっても本人はいつでもその同意を撤回する権利があり、事業者側に何ら過失がない場合であっても、本人がデータの削除を求める場合には、それに応じることも必要となる。事業者は、データの削除を求められた場合にはその対象データを特定して削除できるようにするなど、新たな本人要求に適切に対応できるよう態勢を整えておかなければならない。
GDPR対応における主な管理項目(イメージ)
執筆者
KPMGコンサルティング
パートナー 大洞 健治郎
日刊工業新聞 2018年10月25日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。