SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

プルーフポイント 最新情報セキュリティ インタビュー(AD)

今さら聞けないGDPR対策を聞く――概要から基本原則まで最低限理解すべきこと

GDPRを理解するポイント〜この原則は最低限押さえておこう!

 インタビューでは、GDPRを理解するためのポイントをコスグローブ氏が解説してくれた。まずは役割だ。GDPRでは次図のように役割が定義されている。主な役割には、個人情報の保護対象であるEU居住者を意味する「データ主体」、EU居住者の個人情報を取り扱う企業などを指す「情報管理者」、そのデータ処理を請け負う「情報処理者」などがある。

 書籍販売オンラインサイトを例に取れば、書籍購入者には氏名や発送先などの個人情報を入力してもらうため、サイトの運営企業は個人情報を取り扱う「情報管理者」になる。また、この企業から委託されて書籍購入者のデータ処理を行うプロバイダーがあれば、そこは「情報処理者」だ。

 加えて、GDPRにはデータ処理プロセスを監視する「データ保護当局(DPA:Data Protection Authority)」がいる。DPAは、情報管理者や情報処理者がGDPRに則って個人情報を取り扱っているかを継続的にチェックしている。DPAはEU加盟各国に設置されており、EU居住者の個人情報を取り扱う非EU加盟国の企業(日本企業も含む)の場合、取り扱っている個人情報が最も多い国のDPAにチェックしてもらう。

GDPRで定義されている役割
GDPRで定義されている役割

 次に原則。企業はGDPRを遵守するために何を理解しておくべきか。コスグローブ氏は7つの重要な原則を挙げた。

GDPRを遵守するために理解しておくべき重要な7つの原則
GDPRを遵守するために理解しておくべき重要な7つの原則

1. 合法性・公平性・透明性、2. 正確性

 GDPRの目的を達成するため、つまりEU居住者が自分の個人情報を自身で管理できるようにするための、基本的な概念に関係する原則がこれらにあたる。

 例えば、個人情報を扱うには法で定められたように本人の同意が必要となる。もし、合意のもとに個人情報を収集した後であっても、本人が「私のデータを削除してほしい」と要求したら企業は削除に応じる必要がある。これは「忘れられる権利」でもある。

 本人は企業がどのように個人情報を所有しているか確認するために、個人情報のコピーを請求することもできる。また、企業が持つ個人情報のデータは正確で最新のものでなくてはならない。本人は不正確なデータなら訂正を求める権利があるとされる。

3. 目的の制限、4. データの最少化、5. 保存の制限

 企業が取り扱う個人情報は「目的に対して必要なものだけ」に制限される。最初に合意をとったときの目的以外には使用してはならない。これが目的の制限に当たる。

 保有する個人情報データの範囲も目的に必要な範囲にとどめておく。データを保存する期間も目的の範囲内にしておく必要がある。規則では個人データを必要以上に保有できないことと、保持期間を個人に通知しなければいけないと規定している。

6. 整合性と機密性

 個人情報のデータを取り扱うときには、システムで整合性(完全性)や機密性を保持するように適切に保護する必要がある。言い換えると、個人に関するデータは項目などがちぐはぐになることなく、暗号化や匿名化を施して保護する必要がある。

7. 説明責任

 企業は常に説明できるように心がけなければならない。どのようなポリシーで、どのような方策で個人情報を保護しているかを明文化して運用し、何かあれば説明できるようにしておく必要がある。

 日本の感覚だと意外かもしれないが、今のところGDPRには、日本の「プライバシーマーク」のような、ルールに適合していることを証明する認定マークの類がない。誰かがお墨付きをつけてくれるわけではないということだ。そのため、適切なポリシーを策定し、文書で明文化してしておくことが重要なのである。

 その上で、「トラブルが発生したときにはその文書を提示して、ルールに適合した対応を取っていることを証明することになります」(コスグローブ氏)

(次ページへ続く)

GDPR対応準備に役立つホワイトペーパー資料(無料PDF)のご案内

 ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』(無料PDF、日本プルーフポイント提供)では、本記事でコスグローブ氏が紹介している「GDPRの7つの重要な原則」や「GDPR遵守へのステップ」について、さらに詳しく、具体的に解説を行っています。

 巻末には、GDPRへの対応準備ができているかを確認できる「GDPRコンプライアンスのチェックリスト」付き。実用でも大変役立ちます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。

ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』のダウンロード

次のページ
GDPR遵守へのステップは「特定、計画、保護、強化」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
プルーフポイント 最新情報セキュリティ インタビュー連載記事一覧
この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9939 2017/11/01 06:05

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング