GDPR(EU一般データ保護規則)が5月25日より施行される。さまざまな調査で、日本企業はGDPRへの準備が進んでいないことが明らかになっている。
KPMGがこのほど、GDPRに関する記者勉強会を開催した。その際に行われた説明をもとに、GDPRが施行された後に、企業が求められる対応のポイントを整理してみたい。
GDPR対応の基礎知識
まずは、GDPRについて押さえておきたい基礎知識、取り組むべき優先事項をまとめておこう。GDPRとは、個人データの処理と移転に関するルールを定めた規則であり、「データ保護オフィサーの設置」「個人データの国際移転の制限」「個人データ取り扱い記録の作成と補完」「個人データ漏洩時の報告義務」などを定めている。
サイバーセキュリティアドバイザリーグループ/ディレクターの大洞健治郎氏は、日本でも個人データに関する法規制として個人情報保護法を定めているが、GDPRとはさまざまな違いが見られ、「GDPRのほうが各条文の内容が詳しい」と述べた。
例えば、配慮が必要な個人情報について、個人情報保護法では「性生活」「性的思考」「労働組合」に関する情報が含まれていないが、GDPRではこれらがセンシティブデータとして扱われる。また、匿名加工情報についても、GDPRのほうが要求が細かい。
詳細は以下の図で確認いただきたいが、要は、個人情報保護法を遵守しているからといって、GDPRも遵守しているとは限らないということだ。
続いて、大洞氏は同社が考える、企業に求められるGDPRへの対応の範囲を紹介した。その範囲は、「ガバナンス構築」「インシデント報告」「取引先管理」「プロセス整備」「システム対応」と多岐にわたっている。これらについて、GDPRの要件に合致するように、見直すことが必要となる。
また、GDPR対応プロジェクトでよく見られる課題としては、「ゴールイメージが共有されていない」「本社と子会社の役割分担が明確ではない」「どのように管理ルールを定めるがわからない」「どこまで厳密に対応すべきか決められない」「リードする部署が明確ではない」があるという。
これらの課題への対応としては、「明確なゴールの定義」「本社子会社の役割分担の明確化」「リスクコントロールに基づく管理ルールの策定」などを行うことになる。
GDPR施行後に重要な対応のポイント
大洞氏は、GDPRの施行前は「データマッピング、処理記録・域外移転などへの対応」「管理体制・ルールの整備」「システム上のデータ保護策などの実装」が重要だが、施行後は「継続的なマネジメントシステムの運用」「ルールに従った取り扱いの実施、データガバナンス」「環境変化に伴うシステム・データ保護策などの高度化」と説明した。
「マネジメントシステム」においては、DPOチームを中心に、「法令動向のウォッチと変化への対応」「台帳・SCCの更新確認」「定期的な点検、監査」「データ保護影響評価支援」が必要となる。
大洞氏は、「データ保護影響評価は重要だが、誤解されているようだ。新たに個人データを扱う際、そのリスクを低減する策を把握するための仕組みが必要」と指摘した。
データ保護影響評価が必要かどうかを判定するリスクの要素に、「弱い立場にある個人データを取り扱う場合」「個人の体系的なデータを監視する場合」が含まれる。例えば、従業員の勤怠管理を行っている場合、これらに該当することになるという。また、「革新的技術を利用して個人情報を取り扱う場合」には、AIやIoTを利用してデータを収集している場合が含まれることになる。
こうした背景から、大洞氏は「多くの企業で、データ保護影響評価が必要になる可能性が高い」という見方を示した。
データガバナンスにおいては、ツールを活用して自動化と標準化を進めることで、効率化を図ることが可能になる。利用可能なツールには、IAM(Identity and Access Management)、GRC(Governance・Risk・Compliance)、メタデータ・ログ管理などがある。
システム・データ保護策を実現する仕組みとしては、セキュリティ基盤が紹介された。具体的には、「データ保護ツールの活用」「仮名化、匿名化・暗号化の徹底」「ENISAガイドラインに準拠」といったことを行う。大洞氏によると、GDPRではシステム自体のセキュリティ要件を定めていないという。
大洞氏は、GDPRに則った安全な個人データの管理のポイントとして、ENISA(欧州ネットワーク・情報セキュリティ機関)の公表ガイドラインに従うことを挙げた。ENISAの「個人データ処理に係るセキュリティガイドライン」は、3段階のリスクに応じて、やるべきことがまとめられているという。