GDPR絶対理解、プロが教える「ココだけ」対策ポイント：待ったなし！ GDPR対策（1/3 ページ）

GDPRの対応には関わる部門が多い。まずは各部門で対応すべき項目を整理し、優先順位をつけて対応することが重要だ。ココだけは外せない対策ポイントを説明する。

[土肥正弘，キーマンズネット]

　第1回ではGDPRの概要と注意すべきポイントについて説明したが、第2回の本稿では、日本企業がGDPR対応のためにどのような順序で体制を作り、どうGDPRに準拠した業務プロセスを作り上げればよいか、GDPR対応支援サービスを提供しているPwCコンサルティングの専門家に取材し、重要ポイントを紹介する。「対応が間に合わない」という企業での対応の優先順位のつけ方にも注目してほしい。

GDPR対応のためのポイント

　第1回では、主にGDPRの概要について説明した。GDPRの施行により、EU域内に拠点のある企業ばかりでなく、EU域内の個人データを取り扱うあらゆる企業に規制の網がかかり、違反企業には莫大（ばくだい）な制裁金が課される可能性がある。さらに、個人情報の侵害が発生したら72時間以内に監督当局に通知し、侵害した個人に対しても遅滞なく通知しなければならないという規制の厳しさに対して、ある種の脅威を感じたかもしれない。しかし、そう言っている場合ではない。差し迫るGDPRの施行を前に、できることを速やかに実行する必要がある。

　PwCコンサルティング　マネージャーの松浦 大氏は「GDPRに準拠した社内体制と情報管理の仕組みを体系立てて整備することは重要だが、これには最低でも7カ月、長ければ1年半近くかかる場合が多い」と言う。ただし、これはコンサルティングサービスを利用し早期対応に積極的な企業の場合である。コンサルティングサービスを利用せずに自社だけで対応するならば、さらに長期化する可能性がある。なぜなら、GDPR対応は法務部門や情報部門にとどまらず、人事部門、事業部門、リスク管理部門と多くの部門に影響が及び、それぞれの担当領域での対応が必要になるからだ（図1）。

図1　企業の部門が担うGDPR対応項目の例　※DPIA（Data Protection Impact Assessment：データ保護影響評価）（出典：PwCコンサルティング）

　このように、各部門での対応体制の整備をはじめ、各種のルールや規定の作成、従来の暗黙のルールの明確化と文書化など、GDPR対応のために企業には多くの対応事項が発生する。図1はあくまで参考例であり、必要な項目は企業によって異なるため、自社で対応すべきことを、GDPRの趣旨に照らして洗い出す必要がある。

　GDPRでは、個人データを「透明性」かつ「適合性」のある手段で取り扱わなければならない。以下に、「透明性」と「適合性」確保のポイントと、対策例を挙げる。

透明性

　事業者には、GDPRの規則を順守し適切に対応していることの説明責任や、透明性のある手段で取り扱うことを明文化することが求められる。例えば、個人データを取得する際は、明確な個人情報の取り扱い目的がなければならず、個人情報の提供者に取り扱いの同意を得なければならない。

　また、個人情報の取り扱いが適正かどうかを本人が確認でき、取り扱い許可の取り消しを求められたら応じなければならない。また、本人から要請があれば本人の個人データを提供する義務もあり、これらの手続きについても明確にしておく必要がある。さらに情報漏えいなどの問題が生じた場合の通知手順など、インシデント対応手順も整備されていなければならない。

透明性確保のための対応策の例

• 個人情報取得時の同意文書の見直し
• 個人情報管理プロセスの明確な文書化
• 個人情報管理に関する役割と責任の検証と見直し/文書化
• データ保護責任者（DPO：Data Protection Officer）の選任と任命
• プライバシー影響評価実施のプロセス化
• リスク評価を踏まえたデータセキュリティ対策の検証と見直し
• 個人情報に対するアクセスコントロール策の見直しと文書化
• 個人情報漏えい検知策とインシデント応フローの検証と見直し（72時間対応とDPA（Data Protection Authority：EU加盟国のデータ保護機関）との連携）
• 従業員教育、周知の方針、管理方法の文書化
• 上記ルールの実施と実施証跡の管理

適合性

　GDPRの趣旨にのっとったデータ収集や処理が行える技術的および組織的措置が講じられているか、個人が自分のデータのコントロール（削除、移転など）を思い通りにできるようになっているかどうかが「適合性」のポイントだ。

　GDPRの第25条では、GDPRを順守し個人の権利を保護するために、管理者には、データ処理システムの設計や処理の際に、技術的および組織的措置を講じることを定めている。具体的にはデータから個人を特定できないように処理する「仮名化」や、データ処理の目的と照らして、扱うデータを必要最小限に抑える「データ最小化」といった対策だ。そのような措置は「Data Protection by Design（DPbD）」と呼ばれる。つまり、個人データ処理の目的のために必要最小限のデータだけを扱い、そのデータ処理において個人の権利を侵害することがないようにシステムを設計し、運用しなければならない。DPbDの導入は適合性確保のために重要になる。

　また、SNS運営企業など以外ではあまり生じないと思われるが、あるサービスで収集された個人データを移転することで、別のサービスでも利用できる「データポータビリティ」、個人データを削除できる「忘れられる権利（削除権）」を本人が行使できることも、GDPR適合性の大事なポイントだ。

適合性確保のための対策の例

• 開発管理プロセスの見直しとDPbDの導入
• データポータビリティへの対応プロセスの策定
• 個人情報主体からのデータ削除、修正、問い合わせへの対応プロセスの策定と個人情報主体への明示
• 域外移転に必要な手続きの整備
• 上記ルールの文書化と展開