GDPRの「72時間ルール」、この3日間で企業は何を求められるのか？：待ったなし！　GDPR対策（1/4 ページ）

　本連載ではGDPR（EU一般データ保護規則）の基礎解説から始まり、対応スケジュールや運用上の注意点を解説してきた。最終回となる本稿では、GDPRの第32〜35条に関わる個人情報の安全管理措置のポイントと個人データ国際移転時の注意点について解説する。

IT部門に対応が求められるGDPR要件は？

　GDPR第32条では、「個人の権利と自由を侵害する可能性があるリスクを考慮して、保護レベルをリスクに見合うよう適切な技術的・組織的対策を実施しなければならない」と定められており、個人データを安全に管理するには体制作りといった組織的な対策だけではなく、技術的措置も講じる必要がある。個人データを取り扱うシステムにおいて、GDPRで求められる安全性の確保が難しいようであれば、システムの改修や新規のソリューションの導入も検討が必要だろう。技術的な措置を行うには、GDPRの主管部門とIT部門が協力して対応をすることが重要なのだ。

　表1は、GDPRの条文にある要求事項に対してIT部門の確認すべき項目をPwCが独自に整理したものだ。これを見ると分かるように、業種によってはWeb上で個人情報取得の同意を得る仕組みが必要であるなど、IT部門が関わる領域は思う以上に多岐にわたり、求められる役割は大きい。

表1　GDPRの条文に対するIT部門の確認項目（出典：PwCコンサルティング）

　表1では条文とIT部門の確認事項を整理した。これを具体的に全社的な対応プロジェクトの中でどう役割分担し、どの部分をIT部門が担うかを整理したのが図1だ。この図の中で、IT部門が主に担当するのは、「システム管理プロセスの見直し」「データ主体からの要求に対応するプロセスの見直し」「サイバーインシデント対応ルールの整備」「サイバーセキュリティ施策導入検討」の4つの領域である。このうち「データ主体からの要求に対応するプロセスの見直し」については第3回で説明した通りだ。本稿では他の3つについて説明する。

図1　GDPR対応におけるIT部門の関与（出典：PwCコンサルティング）

Copyright © ITmedia, Inc. All Rights Reserved.