SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IT部門が鍵を握る!世界の個人情報保護規制への対応

事前の対策なしに“72時間以内”の報告は困難―GRCソリューションは法令のどこに効くのか?


 第1回の「個人情報保護法令の改正における特徴的なトレンド」を踏まえ、第2回では、「IT部門に期待される役割」について説明しました。今回はこれまでの説明を基に、GDPRを含めたグローバルの個人情報保護法令に対応するために必要なITソリューションの活用例を紹介します。

事前の対策なしに”72時間以内”の報告は困難

 第1回で紹介したとおり、GDPRでは第33条において個人データの漏洩が発覚した時点から72時間以内に監督機関に報告すること、第34条において遅滞なく被害者(データ主体)に通知することを義務付けています。また、監督機関への報告には少なくとも以下の(1)~(4)を、被害者への通知には(2)~(4)を含むこととしています。

  1. 漏洩した個人データの種類と件数
  2. データ保護責任者の名前と連絡先、詳細情報を得られる方法
  3. 個人データの漏洩によって想定される被害
  4. 実施済みあるいは実施予定の対策

 過去の個人情報漏洩事件を元に、各企業が漏洩発覚後に行った一連の対応を図1にまとめました。これらの例では監督機関への報告までに数ヶ月要しているケースもあり、事前の対策なしに72時間以内という短期間に上記項目を報告することは困難だと言えます。

図1:個人情報漏洩発覚後に企業が行った一連の対応
*公開情報を基に、KPMGにてケースを作成[クリックすると図が拡大します]

 漏洩時に限られた時間内に正確な報告を行うためには、予めインシデント対応の態勢を整備し役割分担や手順を明確にしておく必要があります。加えて、前述の「(1)漏洩した個人データの種類と件数」「(4)実施済みの対策(自社および関与委託先)」を早期に取りまとめるためには、図2のとおり、「個人データの移転経路」「システムで実施していた安全管理対策」「(委託先が関わる場合)委託先で実施していた安全管理対策」を定常的に取りまとめ、把握しておくことが求められます。これらの情報を台帳として管理しておくことで、漏洩事案が発生した場合に速やかに事態を把握し、速やかな対応の実施が可能となります。

図2:定常的に管理が必要な3つの台帳

次のページ
GRCソリューションは法令のどこに効くのか?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT部門が鍵を握る!世界の個人情報保護規制への対応連載記事一覧

もっと読む

この記事の著者

澤田 智輝(サワダ モトキ)

KPMGコンサルティング株式会社 ディレクター
コンサルティング業界で約20年の業務経験を有し、ガバナンス・リスク&コンプライアンスにかかる豊富な実績・経験に基づき、金融機関、重要インフラ事業者、大手製造業などに対して、サイバーセキュリティ、事業継続管理、ITガバナンス、ITコスト管理、内部統制などを...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9428 2017/07/04 17:24

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング