個人データの取り扱いに関するIT部門の役割・責任
個人データの取り扱いに関するIT部門の役割・責任は、大きく2つに分類できます。
- (社内の各部門で)個人データを取り扱うIT環境の構築や利用サポート
- 自部門での個人データの保護・管理
1は、個人データを取り扱う“場”の提供者としての役割であり、主にシステムデザインに関連する役割です。2は、他の部門と同じように、自らの業務で取り扱う個人データを保護・管理するための役割、つまり「取扱者/管理者」としての役割です。
以下では、それぞれの役割のポイントについて見ていきましょう。
1.個人データを取り扱うIT環境の構築や利用サポート
IT部門では、業務部門等が個人データを取り扱うためのIT環境の設計・開発に係る役割を担っています。ここでのポイントは、これらのシステムデザインにおいて、「法令コンプライアンスのための管理機能の組み込み」が期待されている、ということです。
図1:個人データの取り扱いに係るIT部門の主な役割例[クリックすると図が拡大します]
図1⁻Aの部分は、ユーザ要件に基づく個人データ取扱機能の実装ですが、この際には、図中Bのような、必要な管理機能の組み込みが検討されなければなりません。通常のシステム開発において、システム開発標準に基づきセキュリティ仕様の検討が行われるように、個人データ保護法規制へのコンプライアンス要件についても、標準手続きとして、システムデザインへの組み込みを検討するようになっていることが理想でしょう。
これは、業務部門のシステムだけでなく、ファイル共有システムやeメールサービスなど、IT部門がオーナーとなっている全社のユーティリティシステムの設計・開発においても同様です。こういったシステムにおいても、違法な国際移転やプライバシー侵害などが生じないよう、必要な管理機能の検討が行われなければなりません。
また、第1回で解説しましたが例えばDLP(Data Loss Prevention)ツールでメール通信をセンサリングするような場合など、GDPRではPIA(Privacy Impact Assessment)の実施が要求されています(同図中①)。個人データの取り扱いに関連するシステムの設計において、「プライバシーバイデザイン」の実践が求められるわけです。
尚、プライバシーリスクの低減策を検討する際には、システム仕様の話だけではなく、本人への事前通知や同意の取得、処理の記録など、IT以外の対応も含め、全般的な対応について検討が求められる点には留意が必要です。
次のポイントは、「データ保護責任者との連携」です。 最近では、業務部門が社外のITサービスを直接契約利用するケースも多くなってきました。個人データを取り扱うシステムに関しても、ビッグデータ分析のために外部のクラウドサービスを利用する必要があったり、データ授受のためにインターネットでのファイル共有システムの利用が必要であったりするなど、従来のように個人データの取り扱いを社内のハイセキュリティエリアへ閉じ込めておくことが難しくなってきています。
社内のIT基盤を超えてデータが取り扱われる場合、データ保護責任者は、外部のITサービスが提供する管理機能等を使って、自ら技術的安全管理措置などを講じなければなりません。
図2:データ保護責任者による確認プロセスの支援
こういったケースにおいて、IT部門にはデータ保護責任者をテクニカルな面でサポートすることが求められます。外部のITサービスにおける管理機能の設定を支援したり、社内システム側で当該ITサービスへのアクセス制御を行ったりすることで、データ保護責任者の管理業務を支援することもできるでしょう。また、IAM(Identity Access Management)等によるアクセス範囲の統合管理、ログ収集及び分析のサポートなど、データ保護・管理業務の高度化、効率化を支援することも期待されます。
また、社内すべての外部ITサービス利用状況をIT部門で詳細に把握できていれば良いのですが、Shadow ITのリスクが問題になっているように、実際にはすべてを管理しきれてはいないという企業も少なくないでしょう。こういった場合、「外部ITサービスを利用する場合の条件を明確化」して、その遵守を全部門に求めることも必要となります。
せっかく社内システムに必要な統制を盛り込んでも、外部ITサービス側で必要な統制が抜け落ちてしまっては、セキュリティ面だけでなく、個人データ保護法制へのコンプライアンス面でも問題を生じるリスクが高まります。
