2018年5月25日から施行されるGDPR(General Data Protection Regulation: EU一般データ保護規則)。巨額な罰則金と適用範囲の広さから企業への影響も大きい。GDPRに効率よく対応するうえでカギとなるのがデータガバナンスだ。本稿では、同分野で高い実績を持つTalendのアプローチを紹介する。
データが企業戦略の源泉となる中、懸念が高まるデータプライバシー
データの価値がかつてないほど高まっている。データは「21世紀の石油」とも言われ、なかでもパーソナルデータは企業戦略の源泉としてさまざまな活用方法が模索されるようになった。しかしその一方でデータを保有する企業の大きな懸念として顕在化したのが、データプライバシーの確保だ。
データプライバシーへの関心は世界規模で広がっている。世界各国がさまざまな規制や規則を設け、こうした個人データの企業による同意のない利用に制限を設け、保護する動きが活発化している。
そうした規則のなかでも、特に企業経営に大きな影響を与えるのがGDPRだ。2018年5月25日に施行されるこの規則に対し、適用開始に備えた準備はもちろん、適用が始まってからも企業として継続的に対応していくことが求められる。
データガバナンスに向けて、ポリシーとコントロールを作成する
GDPRに則ってデータプライバシーを保護するためには、データのガバナンスを確保するプログラムを作成することが必要だ。このプログラムでは、GDPR対応のポリシー、基準、コントロールを開発し、それを一定のステップに沿って実施していく。最終的に、企業としてデータガバナンスプログラムを運用し続ける体制を築くことが目標になる。
データガバナンスプログラムでポイントとなるポリシーとコントロールの例を、実際のGDPRの条項で見ていこう。まずは、第6条「取り扱いの適法性」だ。ここでは、個人データを合法的に処理するためにどんな基準でどうコントロールするかが定められている。すなわち「個人データの取り扱いを必要とする新しいプロジェクトの設計フェーズにおいて、法務部門とコンプライアンス部門による承認を受ける」ことが求められる。
 |
|
GDPRのコントロールの例 |
また、第7条「同意の条件」では、データ主体からどう同意を得てどう管理するかが定められている。求められるのは「データ主体の同意を得て、その同意が得られたことの証拠を提供する」ことだ。このほか、データガバナンスで課題になりやすいポイントとして、第9条「特別カテゴリの個人データの処理」における人種、民族的素性、政治的思想等の特別な種類の個人データの取り扱い、第11条「情報とコミュニケーションの透明性」におけるデータマスキング、第30条「処理のセキュリティ」における機密データの取り扱いなどがある。
さて、ここまでGDPRの特徴について紹介してきたが、GDPRのデータガバナンスを成功に導くためには、具体的に何から始めるべきなのか。
生成AIで大きく変わるOMOと顧客体験