連載
» 2018年06月12日 10時00分 公開

待ったなし! GDPR対策:GDPRの「72時間ルール」、この3日間で企業は何を求められるのか? (1/4)

個人データの安全管理措置とインシデント発生時の対応について解説する。GDPRで定められる「72時間ルール」。インシデント発生時に企業はこの3日間で何をしなければならないのか。

[土肥正弘,キーマンズネット]

 本連載ではGDPR(EU一般データ保護規則)の基礎解説から始まり、対応スケジュールや運用上の注意点を解説してきた。最終回となる本稿では、GDPRの第32〜35条に関わる個人情報の安全管理措置のポイントと個人データ国際移転時の注意点について解説する。

IT部門に対応が求められるGDPR要件は?

 GDPR第32条では、「個人の権利と自由を侵害する可能性があるリスクを考慮して、保護レベルをリスクに見合うよう適切な技術的・組織的対策を実施しなければならない」と定められており、個人データを安全に管理するには体制作りといった組織的な対策だけではなく、技術的措置も講じる必要がある。個人データを取り扱うシステムにおいて、GDPRで求められる安全性の確保が難しいようであれば、システムの改修や新規のソリューションの導入も検討が必要だろう。技術的な措置を行うには、GDPRの主管部門とIT部門が協力して対応をすることが重要なのだ。

 表1は、GDPRの条文にある要求事項に対してIT部門の確認すべき項目をPwCが独自に整理したものだ。これを見ると分かるように、業種によってはWeb上で個人情報取得の同意を得る仕組みが必要であるなど、IT部門が関わる領域は思う以上に多岐にわたり、求められる役割は大きい。

GDPRの条文に対するIT部門の確認項目 表1 GDPRの条文に対するIT部門の確認項目(出典:PwCコンサルティング)

 表1では条文とIT部門の確認事項を整理した。これを具体的に全社的な対応プロジェクトの中でどう役割分担し、どの部分をIT部門が担うかを整理したのが図1だ。この図の中で、IT部門が主に担当するのは、「システム管理プロセスの見直し」「データ主体からの要求に対応するプロセスの見直し」「サイバーインシデント対応ルールの整備」「サイバーセキュリティ施策導入検討」の4つの領域である。このうち「データ主体からの要求に対応するプロセスの見直し」については第3回で説明した通りだ。本稿では他の3つについて説明する。

GDPR対応におけるIT部門の関与 図1 GDPR対応におけるIT部門の関与(出典:PwCコンサルティング)
       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。