個人データを取り扱うシステムがGDPRの法令要件に満たない、または「データマッピング」でデータ管理の方法に何らかの問題が発見された場合は、システム管理プロセスの見直しや、場合によってはシステムそのものを見直す必要がある。
また、データを管理する上で高リスクと考えられるデータ処理については、リスクの程度を測る「DPIA(Data Protection Impact Assessment:データ保護影響評価)」を実施することが義務付けられている(GDPR第35条第1項)。DPIAでは、データの流れを解析し、そのリスクがデータ処理においてどのような影響を及ぼすかを評価する。その結果を基に、リスク低減策の検討と対応計画の策定を行う。DPIAの対応指針については、EUのデータ保護指令第29条作業部会よりガイドラインが公開されているため、参考にすると良いだろう。
本稿執筆にあたり取材協力いただいたPwCコンサルティング マネージャーの松浦 大氏からは、次のようなアドバイスが出ている。「DPIAを実施する目的は、個人データが侵害されるリスクを分析、評価し、管理プロセスを見直すことで、第32条に基づいた適切な安全管理措置を実現することです。また、定期的にリスク評価することで、新たなリスクにも対応できるような方策も見つけられるでしょう。また、DPAに対して、技術的、組織的な対策が講じられているという証明にもなります」(松浦氏)
DPIAの実施が必須となるケースについて(GDPR第35条)
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。