GDPRに対応するために企業が押さえておくべき3つの観点
門脇氏はGDPRに対応するために、企業が押さえておくべき観点を3つ挙げた。それが「透明性」、「適合性」、「制裁リスク」だ。
透明性
- 利用する個人情報に関する「責任」の文書化
- 個人情報の利用方針を各事業領域で明確化
- 同意取得方法の明確化と同意取得ルールの厳守
- アクセス権管理の強化と付与時間の短縮化
- 漏えい事案の公開等、インシデント対応手順の明確化
上記のように責任、方針、ルールなど、あらゆることを事前に定めて明確にしておく必要がある。GDPRには事前の事柄だけではなく、万が一、個人情報が漏えいした場合の報告義務も定められている。個人情報の取り扱いについては透明性を期すようにしなくてはならないということだ。
適合性
- 域外データ移転への対応
- 「データプロテクション・バイ・デザイン」の導入
- 「データ・ポータビリティ」の実現性を確保
- 「忘れられる権利」行使の実現性を確保
規則に適合しているかどうかも重要なポイントだ。日本では特にEU域外へのデータ移転で適合かどうかをよく確認しておく必要がある。データ移転だけではなく、GDPRには様々なやるべきことが定められている。
例えば「データプロテクション・バイ・デザイン」というのはデータ保護を設計段階から考慮しておかなくてはならないということ。運用で対応するだけでは不十分ということだ。またGDPRには現行法(データ保護指令)にはなかった「忘れられる権利」が新設されている。これも適合していなくてはならない。あらゆる権利保護や規則が適合しているかを確認する必要がある。
制裁リスク
- 監督機関に与えられる権力の強化
- 重大な違反に対する罰則金
- 苦痛が補償される権利
- 組織によって起こされうる訴訟
- データ処理者にも課せられる責任
グローバル企業にとって最も脅威となるのが制裁リスクだろう。制裁金は最大で2000万ユーロまたは前年度の全世界売上高4%のいずれか高い方となるなど、驚くほど高く設定されている。万が一提訴されたり、罰則の対象となれば甚大なダメージとなりかねない。どのような場合が違反となり制裁の対象となるのか、リスクをよく確認しておく必要がある。
