今からでも遅くないGDPR対応 - 最小限押さえておきたい基礎知識

画像提供：マイナビニュース

●まずは欧州の顧客等の個人データに関する調査を
○EUがプライバシー保護の規則をさらに厳格化した理由

欧州連合(EU)在住者のプライバシー保護に関する新たな規則「一般データ保護規則(General Data Protection Regulation：GDPR)が 、2018年5月にいよいよ施行される。GDPRは個人データの処理と移転に関するルールを定めた規則であり、1995年に適用されたEUデータ保護指令に代わり、EU加盟諸国に対して直接効力が発生する法規制となる。GDPRでは、EUデータ保護指令で求められていた個人データ保護の内容に加えて次のような要件が定められている。

「データ保護オフィサー」の設置とデータ保護影響評価の実勢体制の整備
欧州経済域(EEA)内在住者の個人データが漏えいした際に監督当局に対し72時間以内の報告義務
個人データの取り扱いに関する一定の記録の作成と保管
EEA在住者の個人データのEU域外への国際移転の引き続いての原則禁止
本人の同意取得と証跡の保存に関する要件の厳格化

そもそもこのような規則が制定されたのはどのような背景からなのか。今回、KPMG コンサルティング サイバーセキュリティアドバイザリーグループ／ディレクターの大洞健治郎氏は、以下のような見解を示す。

「EUデータ保護指令で個人情報保護の方針は示されていましたが、EU加盟国の間で保護のレベルに差異がありました。このままでは、これから個人情報の国境を越えた活用が進む中で不都合が生じるおそれがあるため、保護レベルが統一されたDigital Single Marketを実現することが、GDPR制定の目的となりました。一方で、ITによる新たな個人データの取り扱いが進む中で、個人のプライバシーを保護していくこともGDPRの目的となっています。ただし、データ保護オフィサーの設置基準など、一部の条件は各国の裁量で決めることのできる余地も残されています」

GDPRに対応するために必要となる要件は、前述のように法令で定められているので、どこの企業でもほぼ共通したものとなるが、実際に規制対応を進めていくには、各社の事情に応じた内部統制の構築が必要になってくる。「そこが難しいところです」と大洞氏は指摘する。

「要件の1つに、72時間以内に当局に報告しなければならないとありますが、社内のルールとして報告義務を定めることは簡単であっても、実際に72時間以内に報告できるのかとなると難しいはずです。例えば、社員が業務用のスマートフォンを紛失したら、そこに個人情報が入っていたかもしれませんし、カバンをなくしても同じようなことが言えるでしょう。こうした日常的に起こりうるセキュリティインシデントの中で、どういうケースが当局への報告対象となり、どういうものであれば当局への報告義務に当たらないのか。現場の判断にゆだねるのみでは難しく、本来なら報告すべきなのに報告できなかった"というリスクも生じます」