EUは、2018年5月に一般データ保護規則(GDPR)を施行する。この規則は、EU域外の企業にも大きな影響を与える。組織は、施行時にGDPRに対応できるように、5つの優先課題に取り組まなければならない。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation:GDPR)」が2018年5月25日に施行される。その影響はEU域外にも及ぶ。GDPRは企業や公的機関、地方自治体、非営利法人など、組織(※)の所在地にかかわらず、EU居住者の個人データを処理、保持する組織全てに適用されるからだ。
「GDPRはEUに本拠を置く組織だけでなく、データの管理や処理を行う世界中の多くの組織に影響する。新たに『データ主体』としての個人に焦点が当てられており、GDPRに違反した場合は2000万ユーロ、または全世界の年間売上高の4%のいずれか高い方を上限とした制裁金を科される恐れがあることから、組織にとって個人データの安全な処理方法を見直す以外の選択肢はほとんどない」。Gartnerのリサーチディレクターを務めるバート・ウィレムセン氏はそう指摘する。
Gartnerは「GDPRはこのところ大いに注目を集めているが、施行日を迎えても、その適用を受ける企業の半数以上がその要件を完全には満たしていないだろう」と予想している。
組織は、施行時にはGDPRに対応できているように、以下の5つの最優先課題に今から取り組まなければならない。
個人データの処理の目的と手段を決定する組織は、基本的に「データ管理者」(data controller)としてGDPRの適用対象となる。そのため、GDPRはEU内の企業だけでなく、EUに商品やサービスを提供するために個人データを処理しているEU外の全組織や、EU内のデータ主体の行動をモニタリングしているEU外の全組織にも適用される。こうした組織は、データ保護当局(DPA)やデータ主体との連絡窓口となる代理人を任命する必要がある。
GDPRの下では、多くの組織がデータ保護責任者(DPO)を置く必要がある。特に、公的な機関や団体であるか、定期的かつ体系的なモニタリングを必要とする処理業務に携わっているか、大規模な処理作業を行っている場合に重要だ。「大規模」な処理は、必ずしも数十万のデータ主体のデータ処理を意味するわけではない。GDPRの初期草案は、「任意の12カ月に5000以上のデータ主体のデータ処理を行うこと」として言及していた。
新しいデータ処理作業を開始するときは、目的の限定、データの品質、データの関連性について決定しなければならない。これらに関する決定は、既存の処理作業にも適用しなければならない。そうすることで、将来にわたって個人データの処理作業のコンプライアンスを一貫して維持することができる。
また、組織は個人データの処理作業に関する全ての意思決定について、説明責任と透明性を実証しなければならない。「第三者のサービスプロバイダー、つまりGDPRで規定されている『データ処理者』(data processor)もGDPRを順守しなければならない。このことは組織の供給、変更管理、調達プロセスに影響するだろう」とウィレムセン氏は語る。
「GDPRの下で説明責任を果たすには、データ主体からの同意を適切に取得し登録しなければならない。『あらかじめチェックされたチェックボックスを提示し、チェックが解除されなければ同意を得たと見なす』というやり方はもう通用しない。組織は、同意と同意の撤回を取得し、文書化する合理的な技術を実装する必要がある」(ウィレムセン氏)
GDPRの下では、EU加盟国28カ国とノルウェー、リヒテンシュタイン、アイスランド(欧州経済領域:EEA)にはデータを移転できる。欧州委員会(EC)が「十分な」レベルのデータ保護がなされていると見なした他の11カ国への移転も可能だ。これら以外の地域にデータを移転する場合は、組織は適切な保護措置を講じなければならない。適切な保護措置には、拘束的企業準則(BCR)や標準契約条項(SCC)などがある。SCCはモデル契約条項とも呼ばれる。
GDPRでは、データ主体の権利が強化されている。これらは忘れられる権利、データポータビリティに関する権利、通知を受ける権利(例えば、データ侵害が発生した場合に通知を受ける権利や、機械学習システムなどの自動的な判断の対象となる場合に説明を受ける権利)などがある。
「企業がまだ、データ侵害インシデントやデータ主体の権利行使に適切に対処する準備を整えていない場合は、対応策に着手すべき時期に来ている」(ウィレムセン氏)
法的免責:この記事の意見や推奨事項は、法的助言と解釈されるものではない。Gartnerは、組織が法律の適用を受ける場合は、有資格者に法的助言を求めることをお勧めする。
出典:Top 5 Priorities to Prepare for EU GDPR(Smarter with Gartner)
Manager, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.