GDPRを理解するポイント〜この原則は最低限押さえておこう!
インタビューでは、GDPRを理解するためのポイントをコスグローブ氏が解説してくれた。まずは役割だ。GDPRでは次図のように役割が定義されている。主な役割には、個人情報の保護対象であるEU居住者を意味する「データ主体」、EU居住者の個人情報を取り扱う企業などを指す「情報管理者」、そのデータ処理を請け負う「情報処理者」などがある。
書籍販売オンラインサイトを例に取れば、書籍購入者には氏名や発送先などの個人情報を入力してもらうため、サイトの運営企業は個人情報を取り扱う「情報管理者」になる。また、この企業から委託されて書籍購入者のデータ処理を行うプロバイダーがあれば、そこは「情報処理者」だ。
加えて、GDPRにはデータ処理プロセスを監視する「データ保護当局(DPA:Data Protection Authority)」がいる。DPAは、情報管理者や情報処理者がGDPRに則って個人情報を取り扱っているかを継続的にチェックしている。DPAはEU加盟各国に設置されており、EU居住者の個人情報を取り扱う非EU加盟国の企業(日本企業も含む)の場合、取り扱っている個人情報が最も多い国のDPAにチェックしてもらう。
次に原則。企業はGDPRを遵守するために何を理解しておくべきか。コスグローブ氏は7つの重要な原則を挙げた。
1. 合法性・公平性・透明性、2. 正確性
GDPRの目的を達成するため、つまりEU居住者が自分の個人情報を自身で管理できるようにするための、基本的な概念に関係する原則がこれらにあたる。
例えば、個人情報を扱うには法で定められたように本人の同意が必要となる。もし、合意のもとに個人情報を収集した後であっても、本人が「私のデータを削除してほしい」と要求したら企業は削除に応じる必要がある。これは「忘れられる権利」でもある。
本人は企業がどのように個人情報を所有しているか確認するために、個人情報のコピーを請求することもできる。また、企業が持つ個人情報のデータは正確で最新のものでなくてはならない。本人は不正確なデータなら訂正を求める権利があるとされる。
3. 目的の制限、4. データの最少化、5. 保存の制限
企業が取り扱う個人情報は「目的に対して必要なものだけ」に制限される。最初に合意をとったときの目的以外には使用してはならない。これが目的の制限に当たる。
保有する個人情報データの範囲も目的に必要な範囲にとどめておく。データを保存する期間も目的の範囲内にしておく必要がある。規則では個人データを必要以上に保有できないことと、保持期間を個人に通知しなければいけないと規定している。
6. 整合性と機密性
個人情報のデータを取り扱うときには、システムで整合性(完全性)や機密性を保持するように適切に保護する必要がある。言い換えると、個人に関するデータは項目などがちぐはぐになることなく、暗号化や匿名化を施して保護する必要がある。
7. 説明責任
企業は常に説明できるように心がけなければならない。どのようなポリシーで、どのような方策で個人情報を保護しているかを明文化して運用し、何かあれば説明できるようにしておく必要がある。
日本の感覚だと意外かもしれないが、今のところGDPRには、日本の「プライバシーマーク」のような、ルールに適合していることを証明する認定マークの類がない。誰かがお墨付きをつけてくれるわけではないということだ。そのため、適切なポリシーを策定し、文書で明文化してしておくことが重要なのである。
その上で、「トラブルが発生したときにはその文書を提示して、ルールに適合した対応を取っていることを証明することになります」(コスグローブ氏)
(次ページへ続く)
GDPR対応準備に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』(無料PDF、日本プルーフポイント提供)では、本記事でコスグローブ氏が紹介している「GDPRの7つの重要な原則」や「GDPR遵守へのステップ」について、さらに詳しく、具体的に解説を行っています。
巻末には、GDPRへの対応準備ができているかを確認できる「GDPRコンプライアンスのチェックリスト」付き。実用でも大変役立ちます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
