GDPRでは個人情報の安全な管理と運用のため、管理責任者を中心とした体制作りが求められる。管理体制作りと個人情報の適切な処理方法、運用面で留意すべきポイントについて説明する。
第2回までは、「GDPR(General Data Protection Regulation:一般データ保護規則)」の概要と注意すべきポイント、対応に要する期間とスケジュールについて説明した。今回は、個人データの移転や取り扱いに関するルール、個人データの運用方法やGDPRに準拠した業務運用について留意すべきポイントを説明する。
GDPRへの対応では、データ保護責任者(DPO:Data Protection Officer)の選任が1つのポイントとなる。DPOは、企業の個人データ保護について強い権限と責任を持つ存在であり、EU内の監督機関と企業をつなぐ担当者でもある。
場合によっては、経営の利益よりもデータ保護を優先しなければならないため「一切の指示を受けない」立場であり、また任務の遂行によって「解雇や処罰を受けない」という高い独立性を持つ。そのため「利益相反」する立場の人(企業の代表など)はDPOに選任できない。DPOに適した人材を選任し、その人を頂点とするデータ保護体制を構築することをGDPRは求めているのである。
DPOの選任は必須ではないが、GDPR 第37条1項、4項では、個人情報のデータ管理者または処理者が以下の4項目に該当する場合は、選任の義務が生じる。
(※1)第9条「有罪判決及び犯罪にかかる個人データの取扱い」で規定されている特別カテゴリーのデータ:人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条または労働組合員資格に関する個人データの処理および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータまたは自然人の性生活もしくは性的指向に関するデータ。
(※2)第10条「有罪判決及び犯罪にかかる個人データの取扱い」:有罪判決および犯罪または関連する安全対策にかかる個人データの取り扱いは、公的機関の管理下においてなされるか、または取り扱いがデータ主体の権利および自由に関して適切な保護対策が規定されているEU法または加盟国の国内法で取り扱いが認められている場合のみ実行されるものとする。有罪判決に関するあらゆる包括的記録は公的権限の管理下においてのみ保持されるものとする。
企業によっては、自社がDPOを選任する義務があるのかどうか不明な場合も多いだろう。違反を避けるには、継続的に大量の個人データを取り扱う企業であればDPOを選任したほうが安全だと考えられる。ただし、DPOの「自主的な選任」については慎重に考える必要がある。PwCコンサルティング マネージャーの松浦 大氏は注意点についてこう説明する。
「DPOを選任した場合、該当地域のデータ保護監督当局に届け出る必要がある。DPOの選任義務がないにもかかわらず、自主的にDPOを選任した場合であっても、GDPR第37〜39条に規定されているDPOに関する要件が適用される。これがその企業にとってのリスクとなる可能性もある」
ちなみに、GDPRに対応した「新ドイツ連邦データ保護法」では、10人以上の従業員を雇用する企業においてもDPO選任義務を課している。各国の法律をチェックする必要がある。
また、第1回でも説明したように、GDPRでは、個人データの侵害が発生した場合は、72時間以内に監督当局への通知義務がある。そのため、DPOを選任する必要がない企業であっても、データ保護の責任者を任命し、万一に備えて敏速に対応できるよう企業内で体制を整備することが重要だ。図1はサイバー攻撃で個人データの侵害を受けた場合を想定した組織構成例だ。
「72時間ルール」に対応できる機敏な組織作りには、関連部門や子会社を横断したプロジェクトチームを組織する必要があるだろう。もちろん(図1のDPOに相当する)責任者の任命や、(図1のDPOチームに相当する)主管部署も事前に決めておきたいところだ。一般的には、GDPR対応の主管部署は、リスク管理部門や法務部門となる場合が多いだろう。図1のように、各部門や経営層との連絡ルートを確保し、迅速な報告が可能な体制を作ることが必要だ。
企業へのGDPRの影響として最も大きいのが、管理する個人データをEU域外(欧州経済領域、EU 加盟 28 カ国とノルウェー、アイスランドおよびリヒテンシュタイン以外)へ移転する場合だ。個人データの移転は原則的に禁止されているが、例外的に一定の要件を満たした場合のみ適法となる。
個人データの移転を適法化するには幾つかの要件を満たす必要があるが、そのためには、「SCC(Standard Contractual Clauses:標準契約条項)の締結」「BCR(Binding Corporate Rules:拘束的企業準則)の締結」のいずれかの方法を用いて移転手続きを行う必要がある。本人の同意が得られる場合は、EU域外への移転に問題はないとされている。
移転準備では、まず域内の従業員や取引先担当者、顧客情報の取り扱い状況の棚卸しから始める。また、並行して、どこの拠点にどのような個人データがあり、どのような経路で流通しているかを可視化する。これを「データマッピング」という。データマッピングについては、後述する。
また、取引先の個人データなどのように、本人同意を得るのが困難なケースも多いはずだ。そんな場合はどうすればよいだろうか。これには先述した「SCC」または「BCR」と呼ばれる契約を締結する方法があるが、詳細については第4回で触れることにする。
データ移転の対象者が多数ある場合は、全対象者の本人同意を得るのは大変な手間が掛かる作業になる。特にEU域内でBtoCサービスを展開するような企業では、サービス利用者全員の同意を得る必要があるため、第2回で説明したように、対応を急がなければならないだろう。その際、例えばサービス利用者にWeb画面上で「明示的」に同意を求める通知を行うなど、簡単な操作で同意を得られる仕組みを用意する方法が考えられる。
データの取り扱い目的や取り扱い方についても、通知や同意確認の方法などを適切に行う工夫が必要だ。特に注意しなければならないのが、16歳未満の場合は本人の同意のだけでなく、保護者の同意も必要となることだ。保護者側への通知や同意確認の手順も綿密に検討する必要がある。
個人データの情報漏えいを避けるための対策では、個人を特定されないようにデータを「仮名化」や「匿名化」といった方法を用いて処理をすることがあるが、処理方法によっては、GDPRの規制の対象となるか否かに分かれる。そのため、個人データの処理方法の違いも把握しておきたい。
仮名化とは、単体情報だけでは個人を特定することができないよう処理する方法である。特定するには、「本人と識別できる追加情報」が必要となるが、容易に特定されないためにも追加情報は別管理する必要がある。ただ、この追加情報があれば本人を特定できるため、仮名化されたデータはGDPR上では個人データとして扱われ、規制対象となる。それに対して、匿名化は、追加情報があっても個人を特定できない状態にする方法であるため、匿名化されたデータは、GDPRの適用範囲外となる。
GDPRには個人データを管理するに当たり、基本原則が定められており、原則は第5条にある次の6つとなる。個人データの管理や運用において参考にしてほしい(出典:JETRO「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編))。
(1)適法性、公正性および透明性の原則
データ主体との関係において、適法、公正かつ透明性のある手段で取り扱われなければならない。
(2)目的の限定の原則
特定の明確、適法な目的のために収集されなければならず、目的と相いれない方法でさらなる取り扱いがなされてはならない。
(3)データの最小化の原則
取り扱われる目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。
(4)正確性の原則
正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去または訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。
(5)保存の制限の原則
当該個人データが取り扱われる目的に必要な期間を超えない範囲で、データ主体の識別が可能な状態で保存されなければならない。
(6)完全性および機密性の原則
当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。無権限の、または違法な取り扱いに対する保護および偶発的な滅失、破壊、または損壊に対する保護を含むものとし、適切な技術的または組織的対策を用いるものとする。
目的の限定、正確性、保存の制限(必要な期間を超えたら保存しない=削除する)、セキュリティに関する要件は、特に注意が必要だろう。大規模な個人データを取り扱う場合には、新たなITソリューションを導入して管理する必要もあるだろう。
従業員250人以上の企業では、取り扱う個人データの処理行為を記録し、保持する義務を負います。DPA(Data Protection Authority:EU加盟国のデータ保護機関)から要請があれば提出する必要があるため、英文書も作成が必須である。
従業員の社員名簿や人事管理システムで個人情報を管理している企業は多いが、その管理台帳やシステムがGDPRの要件に沿った形式かどうかは見直す必要がある。記録には次のような内容を含めることが求められている。
個人情報記録簿に含める必要がある項目(出典:PwCコンサルティング)
また、GDPRにおいては「情報の維持」が求められるため、システム構築時に記録システムを作って終わりではない。半年に一度など定期的な更新が必要だ。
GDPRにおいて、本人から個人データの削除や提供を求められた場合は、それに応じる義務があるため、スムーズに対応できるよう準備が必要だ。例えば、個人データを管理するシステムで、データの削除や抽出がスムーズに行えるようにする、本人からの要請と対応履歴を保管するといった対策だ。個人情報記録簿やデータの所在を明らかにするデータマッピングなどは円滑な対応のための重要な要素となる。
また、EU域内の個人がデータを保持する事業者に対してスムーズに問い合わせができるよう、EU域内にコンタクトセンターを設置し本人からの要請に対応できる体制を構築するなど、体制や、ルール、手順を明確にして、シミュレーションをすることも肝心だろう。
データの削除の場合は、稼働中のシステムからだけではなく、バックアップデータや、複製データがある場合はそれも含めて、保持しているデータ全てを削除しなければならない。提携先や委託先でもデータを保持している場合は、そこで保持するデータも削除し、証跡をもって確実に削除したことを示す必要がある。ちなみに、個人データを他企業に委託している場合は、委託元の責任となる。受託した企業が情報漏えいを起こした場合、委託元に責任が問われるため、業務委託契約の際には、契約文書にGDPRの要件も含め、定期的に業務の実施状況を確認できる手順も決めておく必要がある。
また、削除と提供以外に、もう1つ本人から要請される可能性があるのが「データポータビリティ権」である。データポータビリティ権により、本人からの要請があった場合は、データの持ち出しや移転が可能となる。本人に個人データを渡す場合、一般的な提供形式はExcelやCSV形式でと考えられているが、提供件数が多い場合については提供形式を考慮する必要があるだろう。
EU域外へ個人データを移転する際に、どこの拠点にどのような個人データがあり、どのような経路で流通しているかを可視化することが重要だと説明したが、個人データがどのシステムで処理され、保管されるのかを把握する方法「データマッピング」について説明する。
松浦氏は「個人データがどういうフローでどこのシステムに入っていくか、一連のデータの流れを整理しておかなければ、間違った対応をしてしまう危険性があります。センシティブなデータを多く保管するシステムがどこにあるかで対応すべきことが変わります。データの流れの中に、EU域外へのデータ移転があれば、SCCの締結の必要が出てきます」と指摘する。
データの流れを可視化し、漏れなく把握するためには「データマッピング」と呼ばれる手法が用いられる。マッピング情報(図3参照)から、どこにリスクがあるのかが分かる。安全管理措置を施す場合や、削除権行使の場合の対応策を策定する前に、まずデータの流れを明らかにし、それに沿った対応策を策定することが重要だ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。