GDPR遵守へのステップは「特定、計画、保護、強化」
では、GDPRに対応するというゴールに到達するために、具体的にはどう進めていけばよいか。基本的な流れとして、コスグローブ氏は「特定、計画、保護、強化」を挙げる。まず個人情報の取り扱いに関して現状を「特定」し、GDPRに遵守するためにするべきことを「計画」する。それから、規則の対象となる個人情報を「保護」し、さらに完全性を高めるように「強化」していく。
- 特定
- 企業が持つ個人情報に関するデータの棚卸しを行い、可視化を行う。企業が保有する全てのシステムだけではなく、全てのチャネルやデバイスも含めて把握する。全てのデータに対してどのような保護を行うべきか分類していく。
- 計画
- やるべきことの計画を策定する。緊急性に応じて、どのような日程で対処を進めていくかロードマップを定める。個人情報の運用計画だけではなく、インシデントが発生した時の計画も立てておくことも忘れてはならない。GDPRでは企業は情報漏えいが発覚してから「72時間以内」に監督機関に報告することが義務づけられているためだ。
- 保護
- 個人情報を扱うときのプロセスが適切となるように、機密性を適切に保持できるようにシステムに必要な処理を追加または修正する。また「データ保護責任者(DPO)」と呼ばれる役職を定めておくことも規定されているため、人事や組織体制として対応すべきこともある。
- 強化
- 実際に遵守のための方策をとったとしても安心してはならない。定期的に見直して有効性を確認し、さらに強化していくことも将来的には重要だ。
* * *
GDPRはEUが制定し、EU居住者の個人情報を保護対象とする制度なので、日本からはなかなか把握しにくいところもある。しかし、日本企業であろうとも、EU居住者の個人情報を取り扱うならば適切な保護をすることが求められている。制裁金は大きく、報告は72時間以内と定められており、きちんと準備しておく必要がある。あと半年。今一度、見落としがないか確認しておこう。
GDPR対応準備に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』(無料PDF、日本プルーフポイント提供)では、本記事でコスグローブ氏が紹介している「GDPRの7つの重要な原則」や「GDPR遵守へのステップ」について、さらに詳しく、具体的に解説を行っています。
巻末には、GDPRへの対応準備ができているかを確認できる「GDPRコンプライアンスのチェックリスト」付き。実用でも大変役立ちます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
