GDPRの「72時間ルール」、この3日間で企業は何を求められるのか？：待ったなし！　GDPR対策（2/4 ページ）

　また、データを管理する上で高リスクと考えられるデータ処理については、リスクの程度を測る「DPIA（Data Protection Impact Assessment：データ保護影響評価）」を実施することが義務付けられている（GDPR第35条第1項）。DPIAでは、データの流れを解析し、そのリスクがデータ処理においてどのような影響を及ぼすかを評価する。その結果を基に、リスク低減策の検討と対応計画の策定を行う。DPIAの対応指針については、EUのデータ保護指令第29条作業部会よりガイドラインが公開されているため、参考にすると良いだろう。

　本稿執筆にあたり取材協力いただいたPwCコンサルティング　マネージャーの松浦 大氏からは、次のようなアドバイスが出ている。「DPIAを実施する目的は、個人データが侵害されるリスクを分析、評価し、管理プロセスを見直すことで、第32条に基づいた適切な安全管理措置を実現することです。また、定期的にリスク評価することで、新たなリスクにも対応できるような方策も見つけられるでしょう。また、DPAに対して、技術的、組織的な対策が講じられているという証明にもなります」（松浦氏）

DPIAの実施が必須となるケースについて（GDPR第35条）

図2　DPIA（データ保護影響評価）の実施のポイント（出典：PwCコンサルティング）