GDPRの「72時間ルール」、この3日間で企業は何を求められるのか？：待ったなし！ GDPR対策（2/4 ページ）

個人データの安全管理措置とインシデント発生時の対応について解説する。GDPRで定められる「72時間ルール」。インシデント発生時に企業はこの3日間で何をしなければならないのか。

[土肥正弘，キーマンズネット]

システム管理プロセスの見直し

　個人データを取り扱うシステムがGDPRの法令要件に満たない、または「データマッピング」でデータ管理の方法に何らかの問題が発見された場合は、システム管理プロセスの見直しや、場合によってはシステムそのものを見直す必要がある。

　また、データを管理する上で高リスクと考えられるデータ処理については、リスクの程度を測る「DPIA（Data Protection Impact Assessment：データ保護影響評価）」を実施することが義務付けられている（GDPR第35条第1項）。DPIAでは、データの流れを解析し、そのリスクがデータ処理においてどのような影響を及ぼすかを評価する。その結果を基に、リスク低減策の検討と対応計画の策定を行う。DPIAの対応指針については、EUのデータ保護指令第29条作業部会よりガイドラインが公開されているため、参考にすると良いだろう。

　本稿執筆にあたり取材協力いただいたPwCコンサルティング　マネージャーの松浦 大氏からは、次のようなアドバイスが出ている。「DPIAを実施する目的は、個人データが侵害されるリスクを分析、評価し、管理プロセスを見直すことで、第32条に基づいた適切な安全管理措置を実現することです。また、定期的にリスク評価することで、新たなリスクにも対応できるような方策も見つけられるでしょう。また、DPAに対して、技術的、組織的な対策が講じられているという証明にもなります」（松浦氏）

DPIAの実施が必須となるケースについて（GDPR第35条）

• 個人のプロファイリングを含めた自動処理により、本人に重大な影響を生じる場合
• 第9条第1項で定める特別な種類のデータ（人種、民族、政治思想、宗教、労働組合員資格、遺伝データなど）、または第10条で定める有罪判決および犯罪に関する個人データを大規模に取扱う場合
• 公共の場所において大規模な体系的監視を行う場合

図2　DPIA（データ保護影響評価）の実施のポイント（出典：PwCコンサルティング）