GDPR対応のポイント早分かり:Gartner Insights Pickup(67)
GDPRは、EU居住者の個人データを処理、保持する全ての組織に、その所在地にかかわらず適用される。本稿では、さまざまなビジネスおよびITリーダーにとって最も重要な事項をまとめて紹介する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
2018年5月25日に施行されたEUの「一般データ保護規則(GDPR)」への理解と対応のためのクイックレファレンスガイド
このところ、欧州連合(EU)の「一般データ保護規則(GDPR)」への対応に不備があった場合の悪夢のシナリオを紹介する記事がメディアをにぎわせている。2018年5月25日に施行されたGDPRに違反すると、罰則があるのは確かだ。だが、取り越し苦労は百害あって一利なしだ。
GDPRに対応するには、今できることに集中しなければならない。そうすることでコンプライアンスを確立し、顧客の個人データを適切に保護できるようになる。消費者がプライバシー、透明性、個人情報のコントロールの向上を求める時代には、それは必須だ。
独力で取り組む必要はない。Gartnerのアナリストは、GDPRを理解するのに役立つ信頼できる洞察と、GDPR対応の方法に関する実践的なアドバイスを提供できる。以下では、CIOや最高情報セキュリティ責任者(CISO)から最高マーケティング責任者(CMO)、法務リーダーやコンプライアンスリーダーまで、さまざまなビジネスおよびITリーダーにとって最も重要な事項をまとめて紹介する。GDPRに対応済みだが、まだ疑問があるリーダーにも参考になる内容となっている。
GDPRの基本
GDPRは、EU居住者の個人データを処理、保持する全ての組織に、その所在地にかかわらず適用される。このため、あなたの会社が以下に当てはまる場合、GDPRの適用を受ける。
- EUに事業拠点を持っている
- EU居住者にサービスや商品を提供している
- EU内の個人の行動をモニタリングしている
「GDPRはEUに拠点を置く組織だけでなく、世界中の多くの『データ管理者』や『データ処理者』に影響する」と、Gartnerのリサーチディレクターを務めるバート・ウィレムセン氏は語る。
「GDPRでは、個々の『データ主体』に新たに焦点が当てられており、GDPR違反には最大2000万ユーロ、または全世界での年間売上高の4%のいずれか高い方が制裁金として科される。そのため、組織には個人データを安全に処理する方策を再検討する以外にほとんど選択肢がない」(ウィレムセン氏)
個人データの所有者である個々の権利は、GDPRの下で範囲が拡大される。その中には以下が含まれる。
- 忘れられる権利
- データポータビリティの権利
- データ侵害が発生した場合に通知を受ける権利や、機械学習システムによって意思決定の自動化が行われる場合などに、説明を受ける権利
あなたの会社がGDPRに準拠する必要はないと判断した場合も、GDPRがあなたの会社のデータ処理に与える影響を評価するのが賢明だ。
誰がGDPRコンプライアンスに責任を持つか
当然のことながら、セキュリティやリスク管理のリーダーが主要な役割を担う。だが、責任を負うのはこれらのリーダーだけではない。ビジネスプロセスオーナーも責任を負い、残存リスクを明確に認識して許容範囲内に抑えられるまで、それらの軽減に取り組むことになる。
これは組織全体に当てはまる。例えば、マーケティングはCMOが統括する一連のビジネスプロセスと考えられているため、マーケティングのGDPRコンプライアンスは、CMOが最終的な責任を負うことになる。
「GDPR対応は、セキュリティとリスク管理のリーダーだけでは進められないのは明らかだ。GDPRの全ての要件を業務に翻訳し、リスクを軽減する取り組みに優先順位を付けるには、部門横断型チームが関与しなければならない」(ウィレムセン氏)
データ侵害が発生すると制裁金を科される?
必ずしもそうとは限らない。データ処理を一切行わない場合を除けば、100%のセキュリティは存在しない。組織はデータ侵害の発生を想定しておかなければならない。ただし、予防や検知などの十分な対策を講じる責任もある。
データ侵害が発生しても、それ自体は制裁の対象とはならない。だが、データ侵害、すなわち、「個人データの(コントロールの)あらゆる意図しない喪失」が発生したら、発見から72時間以内に規制当局に報告しなければならない。侵害がデータ主体に影響する可能性がある場合は、組織はそれらの個人にも通知する必要がある。事後調査(および通知を行わなかったこと)でGDPR違反が判明した場合は、規制当局が処分を下す理由になることがある。
データ保護オフィサー(DPO)の選任
GDPRが適用される組織の多くは、「データ保護オフィサー(DPO)」を採用または任命するか、契約によってDPOの職務を外部者に委託する必要がある。DPOの役割は、ビジネスの利益を守るとともに、データ主体(顧客、従業員など)を保護することだ。また、GDPRは、DPOが「最高レベルの経営者」に直接報告を行うことと、取締役会へのDPOのフルアクセスが可能であることを求めている。
DPOは1人だけ任命できるが、専任チームがその職務をサポートできる。DPOへのアクセスが可能で、DPOが独立していれば、組織は、社員や職員がDPOを務めるモデルと、外部者がDPOを務めるモデルのどちらでも選択でき、専任チームについても、本社や本部に置くことも複数の拠点に分散させることもできる。
「DPOの職務が広範囲にわたり、膨大な量であることから、組織にとって『DPOのポストをどのように埋めるのが最適か』を判断するのは難しい」と、Gartnerのプラクティスリーダーを務めるブライアン・リー氏は語る。
だが、判断することは可能だ。ほとんどの組織は、以下3つの選択肢のいずれかを選んでいる。
- 外部のDPOを雇う:市場の需要に応じてコストが高くなる可能性がある
- サードパーティーのアドバイザー(コンサルタントや弁護士など)を利用する:法務チームを補完する
- 既存スタッフを教育し、業界で認められている資格を身につけてもらう
GDPR対応をビジネス価値の創造につなげる
「GDPRの同意要件を実装すれば、組織がデータを柔軟に使用、共有する権利を獲得し、ビジネス価値を最大化するチャンスになる。このことを見失ってはならない」と、Gartnerのリサーチディレクターを務めるリディア・ジョーンズ氏は指摘する。
データとアナリティクスを担当するリーダーは、適切に関与すればGDPR対応の取り組みを以下のことにつなげられる。
- データの新しい使い方を実現する
- データへのアクセスを向上させる
- 組織とデータ主体の相互信頼を深める
最初のステップは、法務チームのサポートを取り付けることだ。さらに、データとアナリティクスを担当するリーダーは、「組織が個人データの扱い方を変えれば、いかにより良いビジネス結果が得られるか」について、より一層の周知に力を入れなければならない。ジョーンズ氏は、そのための方法として以下の3つを挙げている。
- DPOの職務の中で、価値の増進を目標に掲げて推進する
- GDPRにおける同意を自社のデータ戦略にマッピングする
- 新しい情報ガバナンスプロトコルを確立する
出典:Are You Ready for GDPR?(Smarter with Gartner)
筆者 Jill Beadle
Brand Content Manager
Copyright © ITmedia, Inc. All Rights Reserved.