GDPRは、EU居住者の個人データを処理、保持する全ての組織に、その所在地にかかわらず適用される。本稿では、さまざまなビジネスおよびITリーダーにとって最も重要な事項をまとめて紹介する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
このところ、欧州連合(EU)の「一般データ保護規則(GDPR)」への対応に不備があった場合の悪夢のシナリオを紹介する記事がメディアをにぎわせている。2018年5月25日に施行されたGDPRに違反すると、罰則があるのは確かだ。だが、取り越し苦労は百害あって一利なしだ。
GDPRに対応するには、今できることに集中しなければならない。そうすることでコンプライアンスを確立し、顧客の個人データを適切に保護できるようになる。消費者がプライバシー、透明性、個人情報のコントロールの向上を求める時代には、それは必須だ。
独力で取り組む必要はない。Gartnerのアナリストは、GDPRを理解するのに役立つ信頼できる洞察と、GDPR対応の方法に関する実践的なアドバイスを提供できる。以下では、CIOや最高情報セキュリティ責任者(CISO)から最高マーケティング責任者(CMO)、法務リーダーやコンプライアンスリーダーまで、さまざまなビジネスおよびITリーダーにとって最も重要な事項をまとめて紹介する。GDPRに対応済みだが、まだ疑問があるリーダーにも参考になる内容となっている。
GDPRは、EU居住者の個人データを処理、保持する全ての組織に、その所在地にかかわらず適用される。このため、あなたの会社が以下に当てはまる場合、GDPRの適用を受ける。
「GDPRはEUに拠点を置く組織だけでなく、世界中の多くの『データ管理者』や『データ処理者』に影響する」と、Gartnerのリサーチディレクターを務めるバート・ウィレムセン氏は語る。
「GDPRでは、個々の『データ主体』に新たに焦点が当てられており、GDPR違反には最大2000万ユーロ、または全世界での年間売上高の4%のいずれか高い方が制裁金として科される。そのため、組織には個人データを安全に処理する方策を再検討する以外にほとんど選択肢がない」(ウィレムセン氏)
個人データの所有者である個々の権利は、GDPRの下で範囲が拡大される。その中には以下が含まれる。
あなたの会社がGDPRに準拠する必要はないと判断した場合も、GDPRがあなたの会社のデータ処理に与える影響を評価するのが賢明だ。
当然のことながら、セキュリティやリスク管理のリーダーが主要な役割を担う。だが、責任を負うのはこれらのリーダーだけではない。ビジネスプロセスオーナーも責任を負い、残存リスクを明確に認識して許容範囲内に抑えられるまで、それらの軽減に取り組むことになる。
これは組織全体に当てはまる。例えば、マーケティングはCMOが統括する一連のビジネスプロセスと考えられているため、マーケティングのGDPRコンプライアンスは、CMOが最終的な責任を負うことになる。
「GDPR対応は、セキュリティとリスク管理のリーダーだけでは進められないのは明らかだ。GDPRの全ての要件を業務に翻訳し、リスクを軽減する取り組みに優先順位を付けるには、部門横断型チームが関与しなければならない」(ウィレムセン氏)
必ずしもそうとは限らない。データ処理を一切行わない場合を除けば、100%のセキュリティは存在しない。組織はデータ侵害の発生を想定しておかなければならない。ただし、予防や検知などの十分な対策を講じる責任もある。
データ侵害が発生しても、それ自体は制裁の対象とはならない。だが、データ侵害、すなわち、「個人データの(コントロールの)あらゆる意図しない喪失」が発生したら、発見から72時間以内に規制当局に報告しなければならない。侵害がデータ主体に影響する可能性がある場合は、組織はそれらの個人にも通知する必要がある。事後調査(および通知を行わなかったこと)でGDPR違反が判明した場合は、規制当局が処分を下す理由になることがある。
GDPRが適用される組織の多くは、「データ保護オフィサー(DPO)」を採用または任命するか、契約によってDPOの職務を外部者に委託する必要がある。DPOの役割は、ビジネスの利益を守るとともに、データ主体(顧客、従業員など)を保護することだ。また、GDPRは、DPOが「最高レベルの経営者」に直接報告を行うことと、取締役会へのDPOのフルアクセスが可能であることを求めている。
DPOは1人だけ任命できるが、専任チームがその職務をサポートできる。DPOへのアクセスが可能で、DPOが独立していれば、組織は、社員や職員がDPOを務めるモデルと、外部者がDPOを務めるモデルのどちらでも選択でき、専任チームについても、本社や本部に置くことも複数の拠点に分散させることもできる。
「DPOの職務が広範囲にわたり、膨大な量であることから、組織にとって『DPOのポストをどのように埋めるのが最適か』を判断するのは難しい」と、Gartnerのプラクティスリーダーを務めるブライアン・リー氏は語る。
だが、判断することは可能だ。ほとんどの組織は、以下3つの選択肢のいずれかを選んでいる。
「GDPRの同意要件を実装すれば、組織がデータを柔軟に使用、共有する権利を獲得し、ビジネス価値を最大化するチャンスになる。このことを見失ってはならない」と、Gartnerのリサーチディレクターを務めるリディア・ジョーンズ氏は指摘する。
データとアナリティクスを担当するリーダーは、適切に関与すればGDPR対応の取り組みを以下のことにつなげられる。
最初のステップは、法務チームのサポートを取り付けることだ。さらに、データとアナリティクスを担当するリーダーは、「組織が個人データの扱い方を変えれば、いかにより良いビジネス結果が得られるか」について、より一層の周知に力を入れなければならない。ジョーンズ氏は、そのための方法として以下の3つを挙げている。
出典:Are You Ready for GDPR?(Smarter with Gartner)
Brand Content Manager
Copyright © ITmedia, Inc. All Rights Reserved.