GDPR対応における優先項目と施行後のポイントとは?

GDPR(EU一般データ保護規則)が5月25日より施行される。さまざまな調査で、日本企業はGDPRへの準備が進んでいないことが明らかになっている。

KPMGがこのほど、GDPRに関する記者勉強会を開催した。その際に行われた説明をもとに、GDPRが施行された後に、企業が求められる対応のポイントを整理してみたい。

GDPR対応の基礎知識

KPMG コンサルティングサイバーセキュリティアドバイザリーグループ/ディレクター大洞健治郎氏

まずは、GDPRについて押さえておきたい基礎知識、取り組むべき優先事項をまとめておこう。GDPRとは、個人データの処理と移転に関するルールを定めた規則であり、「データ保護オフィサーの設置」「個人データの国際移転の制限」「個人データ取り扱い記録の作成と補完」「個人データ漏洩時の報告義務」などを定めている。

サイバーセキュリティアドバイザリーグループ／ディレクターの大洞健治郎氏は、日本でも個人データに関する法規制として個人情報保護法を定めているが、GDPRとはさまざまな違いが見られ、「GDPRのほうが各条文の内容が詳しい」と述べた。

例えば、配慮が必要な個人情報について、個人情報保護法では「性生活」「性的思考」「労働組合」に関する情報が含まれていないが、GDPRではこれらがセンシティブデータとして扱われる。また、匿名加工情報についても、GDPRのほうが要求が細かい。

詳細は以下の図で確認いただきたいが、要は、個人情報保護法を遵守しているからといって、GDPRも遵守しているとは限らないということだ。

日本の個人情報保護法とGDPRの主な違い

続いて、大洞氏は同社が考える、企業に求められるGDPRへの対応の範囲を紹介した。その範囲は、「ガバナンス構築」「インシデント報告」「取引先管理」「プロセス整備」「システム対応」と多岐にわたっている。これらについて、GDPRの要件に合致するように、見直すことが必要となる。

企業が求められる対応の範囲

また、GDPR対応プロジェクトでよく見られる課題としては、「ゴールイメージが共有されていない」「本社と子会社の役割分担が明確ではない」「どのように管理ルールを定めるがわからない」「どこまで厳密に対応すべきか決められない」「リードする部署が明確ではない」があるという。

これらの課題への対応としては、「明確なゴールの定義」「本社子会社の役割分担の明確化」「リスクコントロールに基づく管理ルールの策定」などを行うことになる。

GDPR施行後に重要な対応のポイント

大洞氏は、GDPRの施行前は「データマッピング、処理記録・域外移転などへの対応」「管理体制・ルールの整備」「システム上のデータ保護策などの実装」が重要だが、施行後は「継続的なマネジメントシステムの運用」「ルールに従った取り扱いの実施、データガバナンス」「環境変化に伴うシステム・データ保護策などの高度化」と説明した。

「マネジメントシステム」においては、DPOチームを中心に、「法令動向のウォッチと変化への対応」「台帳・SCCの更新確認」「定期的な点検、監査」「データ保護影響評価支援」が必要となる。

GDPR対応のためのマネジメントシステムのポイント

大洞氏は、「データ保護影響評価は重要だが、誤解されているようだ。新たに個人データを扱う際、そのリスクを低減する策を把握するための仕組みが必要」と指摘した。

データ保護影響評価が必要かどうかを判定するリスクの要素に、「弱い立場にある個人データを取り扱う場合」「個人の体系的なデータを監視する場合」が含まれる。例えば、従業員の勤怠管理を行っている場合、これらに該当することになるという。また、「革新的技術を利用して個人情報を取り扱う場合」には、AIやIoTを利用してデータを収集している場合が含まれることになる。

こうした背景から、大洞氏は「多くの企業で、データ保護影響評価が必要になる可能性が高い」という見方を示した。

データガバナンスにおいては、ツールを活用して自動化と標準化を進めることで、効率化を図ることが可能になる。利用可能なツールには、IAM(Identity and Access Management)、GRC(Governance・Risk・Compliance)、メタデータ・ログ管理などがある。