SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IT部門が鍵を握る!世界の個人情報保護規制への対応

個人データの取り扱いで、IT部門に求められる役割と責任とは何か?

  この第2回では、企業における世界の個人情報保護法制への対応において、「IT部門に期待される役割とは何か」を見ていきます。従来の「紙や外部記憶媒体での情報管理や伝達」は急速に姿を消しつつあり、今ではほとんどの個人データの取り扱いがネットワーク上で完結するようになってきました。「本人」からの個人データの収集、そのデータの保存、利用、他社への伝送など、すべてがIT環境の上で行われるようになってきています。こういった新たな環境において、IT部門には、個人データ保護に関してどのような役割が期待されているのでしょうか?

個人データの取り扱いに関するIT部門の役割・責任

 個人データの取り扱いに関するIT部門の役割・責任は、大きく2つに分類できます。

  1. (社内の各部門で)個人データを取り扱うIT環境の構築や利用サポート
  2. 自部門での個人データの保護・管理

 1は、個人データを取り扱う“場”の提供者としての役割であり、主にシステムデザインに関連する役割です。2は、他の部門と同じように、自らの業務で取り扱う個人データを保護・管理するための役割、つまり「取扱者/管理者」としての役割です。

以下では、それぞれの役割のポイントについて見ていきましょう。

1.個人データを取り扱うIT環境の構築や利用サポート

 IT部門では、業務部門等が個人データを取り扱うためのIT環境の設計・開発に係る役割を担っています。ここでのポイントは、これらのシステムデザインにおいて、「法令コンプライアンスのための管理機能の組み込み」が期待されている、ということです。

図1:個人データの取り扱いに係るIT部門の主な役割例[クリックすると図が拡大します]

 図1⁻Aの部分は、ユーザ要件に基づく個人データ取扱機能の実装ですが、この際には、図中Bのような、必要な管理機能の組み込みが検討されなければなりません。通常のシステム開発において、システム開発標準に基づきセキュリティ仕様の検討が行われるように、個人データ保護法規制へのコンプライアンス要件についても、標準手続きとして、システムデザインへの組み込みを検討するようになっていることが理想でしょう。

 これは、業務部門のシステムだけでなく、ファイル共有システムやeメールサービスなど、IT部門がオーナーとなっている全社のユーティリティシステムの設計・開発においても同様です。こういったシステムにおいても、違法な国際移転やプライバシー侵害などが生じないよう、必要な管理機能の検討が行われなければなりません。

 また、第1回で解説しましたが例えばDLP(Data Loss Prevention)ツールでメール通信をセンサリングするような場合など、GDPRではPIA(Privacy Impact Assessment)の実施が要求されています(同図中①)。個人データの取り扱いに関連するシステムの設計において、「プライバシーバイデザイン」の実践が求められるわけです。

 尚、プライバシーリスクの低減策を検討する際には、システム仕様の話だけではなく、本人への事前通知や同意の取得、処理の記録など、IT以外の対応も含め、全般的な対応について検討が求められる点には留意が必要です。

 次のポイントは、「データ保護責任者との連携」です。 最近では、業務部門が社外のITサービスを直接契約利用するケースも多くなってきました。個人データを取り扱うシステムに関しても、ビッグデータ分析のために外部のクラウドサービスを利用する必要があったり、データ授受のためにインターネットでのファイル共有システムの利用が必要であったりするなど、従来のように個人データの取り扱いを社内のハイセキュリティエリアへ閉じ込めておくことが難しくなってきています。

 社内のIT基盤を超えてデータが取り扱われる場合、データ保護責任者は、外部のITサービスが提供する管理機能等を使って、自ら技術的安全管理措置などを講じなければなりません。

図2:データ保護責任者による確認プロセスの支援

 こういったケースにおいて、IT部門にはデータ保護責任者をテクニカルな面でサポートすることが求められます。外部のITサービスにおける管理機能の設定を支援したり、社内システム側で当該ITサービスへのアクセス制御を行ったりすることで、データ保護責任者の管理業務を支援することもできるでしょう。また、IAM(Identity Access Management)等によるアクセス範囲の統合管理、ログ収集及び分析のサポートなど、データ保護・管理業務の高度化、効率化を支援することも期待されます。

 また、社内すべての外部ITサービス利用状況をIT部門で詳細に把握できていれば良いのですが、Shadow ITのリスクが問題になっているように、実際にはすべてを管理しきれてはいないという企業も少なくないでしょう。こういった場合、「外部ITサービスを利用する場合の条件を明確化」して、その遵守を全部門に求めることも必要となります。

 せっかく社内システムに必要な統制を盛り込んでも、外部ITサービス側で必要な統制が抜け落ちてしまっては、セキュリティ面だけでなく、個人データ保護法制へのコンプライアンス面でも問題を生じるリスクが高まります。

次のページ
2.自部門での個人データの保護・管理

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT部門が鍵を握る!世界の個人情報保護規制への対応連載記事一覧

もっと読む

この記事の著者

大洞 健治郎(オオボラ ケンジロウ)

KPMGコンサルティング株式会社 ディレクター
情報管理分野のアドバイザリーを幅広くリード。KPMGグローバル プライバシーアドバイザリーグループのメンバーとして、世界152カ国のメンバーファームと連携し、多数のグローバル企業へ個人情報管理態勢の構築支援サービスを提供。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9371 2017/06/19 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング