一般データ保護規則(GDPR)は、個人データが扱われる目的に必要な期間を超えない範囲で保持されなければならない」と定めています。つまり、データを保持していることを、企業は忘れてはいけないということです。
2019年後半、適切なデータ保持管理を実施できなかったためにドイツの不動産会社が1,450万ユーロの罰金を科された事例をご存知でしょうか。データが侵害されたわけでもなく、規則遵守していない業務委託先とデータを共有したわけでもありません。内部データ保持管理を実施できなかったこと自体がプライバシールールの違反に当たり、罰金を科されました。
一般データ保護規則(GDPR)は欧州連合にしっかりと根付いており、問題事例として見出しを飾る記事のほとんどは、個人情報(PII)のデータ侵害に焦点が当てられています。データセキュリティはデータ保護の重要な部分ですが、GDPR第5条(1)は、個人データの管理方法に関する7つの主要な原則を定めています。これらの原則の1つでは、PIIについて「データは、データ主体の識別が許容される形式で、個人データが扱われる目的に必要な期間を超えない範囲で保持されなければならない」と、明記されています。つまり、データを保持していることを、企業は忘れてはいけないということです。
企業が陥りやすい過失は、「データのため込み」、つまり、オンプレミスストレージあるいはクラウド上に記録されたデータが、忘れられたままで、適切な時期に、かつ安全な方法で削除されていない状況です。これには多くの理由が考えられます。たとえば、システムの責任者が退社した、新しいシステムが導入された、データのため込みを単に可視化できなかった、などです。
データをなくしたり、忘れてしまったり――データ保持期間が長すぎませんか?
企業が個人データを保持する必要がある場合、当然データ保持ポリシーを明確に定義することが重要です。そして定義したポリシーを実施するためには、保持している個人データを明確に可視化する必要があります。保存しているデータの種類、入手した方法、そして最も重要なことですが、それをいつ入手したかを管理できる必要があります。
GDPRは、必要な保持期間の長さについてかなり曖昧です。それでも、保持しているデータに関わりがある個人と最後にやり取りした時期など、データを保持している期間を報告できるようにすることをお勧めします。そうすれば、個人データを不必要にため込んでいるかどうかを判断し、対策を講じることができます。
たとえば、メーリングリストに数年間載っているものの顧客になったことがない個人がいないか、しばらくの間アクティブになっていない個人データが、データベースアーカイブの奥深くで「デジタルダスト」に埋もれていないか、確認してみてください。なおご参考に、データ保持ポリシー適用の例について、Qlik Sense GDPRデモアプリをご覧ください。
たとえ目に見えなくてもデータは存在する:データカタログや匿名化の必要性
データをより厳密に管理して不使用データの蓄積を回避するための別の方法は、企業全体で管理されるデータを「カタログ」化して管理するソリューションを採用することです。 GDPR第5条(1)は、「完全性と機密性」を備えた個人データの管理を規定するものです。個人データを保持する必要があり、そのデータを従業員が使用しなければならない場合でも、データを操作するために全員が内容を表示できる必要はありません。またコンプライアンスを維持するためには、データを正しい方法で匿名化できることも重要で、たとえばデータマスキングという手法があります。
まとめ:規制を常に把握する
GDPRには複雑な内容が多く見られますが、世界中でさらに多くのデータ保護規制がすでに施行されている、または今後実施される予定です。業務に必要なデータを準備する際、企業内のデータ管理責任者は、データ管理ポリシーとセキュリティ規則が確実に遵守され、機密データが適切に扱われるようにする必要があります。したがって、重要なことは、ベストプラクティスに関する法的アドバイスを求め、ビジネスに関連する規制を常に把握すること、そして企業内の全員が適切なポリシーを認識してコンプライアンスを維持し、巨額の罰金と評判の低下といったリスクを回避できる責任ある方法でデジタルトランスフォーメーションを進められるようにすることです。