連載
» 2018年05月15日 10時00分 公開

待ったなし! GDPR対策:GDPR管理体制マップをコンサルタントがこっそり教える (1/5)

GDPRでは個人情報の安全な管理と運用のため、管理責任者を中心とした体制作りが求められる。管理体制作りと個人情報の適切な処理方法、運用面で留意すべきポイントについて説明する。

[土肥正弘,キーマンズネット]

 第2回までは、「GDPR(General Data Protection Regulation:一般データ保護規則)」の概要と注意すべきポイント、対応に要する期間とスケジュールについて説明した。今回は、個人データの移転や取り扱いに関するルール、個人データの運用方法やGDPRに準拠した業務運用について留意すべきポイントを説明する。

DPO(データ保護責任者)選任義務の範囲と運用組織検討時の注意点

 GDPRへの対応では、データ保護責任者(DPO:Data Protection Officer)の選任が1つのポイントとなる。DPOは、企業の個人データ保護について強い権限と責任を持つ存在であり、EU内の監督機関と企業をつなぐ担当者でもある。

 場合によっては、経営の利益よりもデータ保護を優先しなければならないため「一切の指示を受けない」立場であり、また任務の遂行によって「解雇や処罰を受けない」という高い独立性を持つ。そのため「利益相反」する立場の人(企業の代表など)はDPOに選任できない。DPOに適した人材を選任し、その人を頂点とするデータ保護体制を構築することをGDPRは求めているのである。

 DPOの選任は必須ではないが、GDPR 第37条1項、4項では、個人情報のデータ管理者または処理者が以下の4項目に該当する場合は、選任の義務が生じる。

  1. 処理が公的機関または団体によって行われる場合(ただし、司法上の権限に基づく裁判所の行為を除く)
  2. 管理者または処理者の中心的業務が、その性質、適用範囲および/または目的によって、大規模にデータ主体の定期的かつ体系的な監視を必要とする処理作業である場合
  3. 管理者または処理者の中心的業務が、9条で言及された特別カテゴリーの個人データ(※1)および10条(※2)で定める有罪判決および犯罪に関する個人データを大規模に処理する場合
  4. EU法または加盟国の法律でDPO選任が要求されている場合

(※1)第9条「有罪判決及び犯罪にかかる個人データの取扱い」で規定されている特別カテゴリーのデータ:人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条または労働組合員資格に関する個人データの処理および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータまたは自然人の性生活もしくは性的指向に関するデータ。

(※2)第10条「有罪判決及び犯罪にかかる個人データの取扱い」:有罪判決および犯罪または関連する安全対策にかかる個人データの取り扱いは、公的機関の管理下においてなされるか、または取り扱いがデータ主体の権利および自由に関して適切な保護対策が規定されているEU法または加盟国の国内法で取り扱いが認められている場合のみ実行されるものとする。有罪判決に関するあらゆる包括的記録は公的権限の管理下においてのみ保持されるものとする。

 企業によっては、自社がDPOを選任する義務があるのかどうか不明な場合も多いだろう。違反を避けるには、継続的に大量の個人データを取り扱う企業であればDPOを選任したほうが安全だと考えられる。ただし、DPOの「自主的な選任」については慎重に考える必要がある。PwCコンサルティング マネージャーの松浦 大氏は注意点についてこう説明する。

 「DPOを選任した場合、該当地域のデータ保護監督当局に届け出る必要がある。DPOの選任義務がないにもかかわらず、自主的にDPOを選任した場合であっても、GDPR第37〜39条に規定されているDPOに関する要件が適用される。これがその企業にとってのリスクとなる可能性もある」

 ちなみに、GDPRに対応した「新ドイツ連邦データ保護法」では、10人以上の従業員を雇用する企業においてもDPO選任義務を課している。各国の法律をチェックする必要がある。

 また、第1回でも説明したように、GDPRでは、個人データの侵害が発生した場合は、72時間以内に監督当局への通知義務がある。そのため、DPOを選任する必要がない企業であっても、データ保護の責任者を任命し、万一に備えて敏速に対応できるよう企業内で体制を整備することが重要だ。図1はサイバー攻撃で個人データの侵害を受けた場合を想定した組織構成例だ。

組織構成例 図1 サイバー攻撃で個人データの侵害を受けた場合を想定した組織構成例(出典:PwCコンサルティング)

 「72時間ルール」に対応できる機敏な組織作りには、関連部門や子会社を横断したプロジェクトチームを組織する必要があるだろう。もちろん(図1のDPOに相当する)責任者の任命や、(図1のDPOチームに相当する)主管部署も事前に決めておきたいところだ。一般的には、GDPR対応の主管部署は、リスク管理部門や法務部門となる場合が多いだろう。図1のように、各部門や経営層との連絡ルートを確保し、迅速な報告が可能な体制を作ることが必要だ。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。