GDPR施行が迫る – 準備はできましたか?

GDPR施行が迫る – 準備はできましたか?
(本ブログはGDPR is coming. Are you ready?の抄訳版です。)

弁護士たちと充実した時間を長く過ごし、クラウドにおけるeDiscoveryのメリットについて法務コミュニティを教育してきましたが、EU (欧州連合) のGDPR (一般データ保護規制) という厄介で誰もが目をそらしてしまう存在に気づきました。来年、何千もの企業がGDPRで定められたまったく新しいデータ管理規則に従わなければならなくなります。GDPRへの意見や知識についてさまざま挙がりましたが、以下の3つの質問で盛り上がりました。

  • GDPRとは何ですか?私の組織にどのような影響が出ますか?
  • まず何をする必要がありますか?
  • コンプライアンスを確実にするため、クラウドをどのように活用できますか?

GDPRの説明

GDPRではEU市民データ処理のための統一された法律と厳しい規制が策定され、違反に対して大きな罰則を規定しています。これら罰則は行政的罰金の形で行われ、手続き的なものを含めてあらゆる種類のGDPR違反に対して課される可能性があります。罰金は「1,000万ユーロまたは年間世界売上の2%」から「2,000万ユーロまたは年間世界売上の4%」です。

新しい規制が生まれる主な背景は以下の通りです。

  1. EU市民に自身の個人情報利用手段についてより大きな権限を与える
  2. デジタルサービスプロバイダーとその利用者間で信頼関係を強化する
  3. 企業に明確な法的枠組みを提供する単に、EU単一市場全体で統一された法律を制定することにより、地域間の差異をなくす

GDPRは2018年5月25日に施行されるため、企業はEU市民の個人情報の取り扱い方法について大幅な変更に備えて準備が必要になります。GDPRの準備として組織が行えることを探ってみましょう。

GDPRの第一歩

Picture1 事業がGDPRの対象か?
GDPRは、その前身であるEUデータ保護条例 (Data Protection Directive; Directive 95/46/EC) よりも広範囲の組織に適用されます。実際、欧州プライバシー法の対象にならなかった多くの企業でGDPRを遵守しなければならなくなります。遵守する必要があるかどうかを判断する方法は次の通りです。

GDPRは業務活動の遂行中に個人情報が処理される、EU域内に存在するすべての組織に適用されます。これはEU域内に従業員を一人だけ抱える組織であっても対象になります。

EU域内に物理的に存在しない企業がEU市民に商品やサービスを提供しようとする場合、GDPRが適用されます。「提供しようとする」というのには、EUの言語や通貨の使用、EU市民向けの製品仕様変更、EU域内での能動的なマーケティング活動が含まれます。以下に述べる「モニタリング」とは、プロファイルを作成したり、個人の嗜好や行動パターン、振舞いを分析して予測するためにオンラインで個人を追跡することです。

企業にデータ保護責任者 (DPO) が必要か?Picture1
コンプライアンス責任者や法律顧問と異なり、DPOは取締役会に報告し、会社のデータ処理を監視 (モニタリング) する権限を持ちます。機密データや犯罪記録を処理する従業員数250人以上の組織ではDPOを任命する必要があります。従業員数250人未満の組織では、機密データを処理するかどうかによってDPOを任命する必要がある場合とない場合があります。

Picture1 データコピーの削除、修正、提供の要求に対処する手順が導入されていますか?
データコピーへのアクセス権限、修正権限、処理を制限する権限など、データ保護条例で規定されている権限に加えて、GDPRではオンライン情報の消去権限とデータの移植 (データを別のサービスプロバイダに転送できるようにする) 権限も含まれます。つまり、これらの種類の要求に対処するための完全な手順を導入する必要があります。

Picture1会社にGDPRの要件を満たすインシデントレスポンス計画がありますか?
GDPRには情報漏えいの通知要件が含まれています。人的被害の危険がある場合、情報漏えいを監督当局に72時間以内に通知する必要があります。影響を受ける情報の対象者は「過度の遅延」なしに通知を受けられるようにする必要があります。

Picture1組織のデータ転送方式は何ですか?
会社が個人情報をどのようにEUから転送されたかを把握していない場合、転送の仕組みを調査するのによいタイミングでしょう。組織がEUから米国にデータを転送する場合、次の方法があります。

  • プライバシーシールドの認証
  • モデル契約条項の締結
  • 企業内データ転送の拘束的企業準則 (Binding rules)

これらすべての要件に共通するのは、データ保護とガバナンスに対してより多くのリソースを割り当て、プライバシーとセキュリティに対してより積極的に取り組む、ということです。

DruvaとクラウドとGDPR
Druvaのソリューションは市場に提供される唯一のクラウドネイティブなデータ保護SaaSであり、次のようなパブリッククラウドを利用した機能により、GDPRのような規制遵守に正面から取り組むことができます。

  • データの可視化: 情報を保護し、GDPRを遵守するためには、データが存在する場所の可視化が必要です。Druvaはエンドポイント、サーバー、クラウドアプリケーションのデータを保護、収集、監視する機能を提供します。この広範な可視化により、データ攻撃面を企業全体で理解できるようになり、GDPRに準拠したセキュリティ機構をどのように導入するかについて実用的な洞察を得られるようになります。
  • 情報ガバナンス: 従来、データガバナンスは一元的にデータを集中管理することに注力していたため、集中管理された情報にのみが可視化されていました。モバイルデバイスやクラウドアプリケーションまでデータ生成が分散されるようになると、企業は異なる方法でガバナンスに取り組まなければならなくなります。Druvaでは、データソースのポリシー管理と施行を一元化して、GDPRに準拠した方法で集中化されていないデータを取り組むことができます。
  • 継続的なデータモニタリング: GDPRではデータを処理する人がどこにいたとしても情報セキュリティをモニタリングすることを要求しています。Druvaを使用すると、データが従来のエンドポイントやクラウドアプリケーションのどこにあるかに関わらず、コンプライアンス違反の事前監視を自動化することができます。
  • セキュアな転送: GDPRのセキュリティは、データがどこにあるかに関わらず、すべてEU市民のデータに準じます。Druvaは業界をリードする標準規格のTLS 1.2およびAES 256暗号化を、顧客独自の鍵とシンプルかつ統合された鍵管理とを組み合わせて使用します。Druvaは受け入れ可能な転送方式が決まっていない場合でも、データがEU以外に転送されることを防ぐことができます。
  • 忘れられる権利 (削除権): 組織がGDPRで直面する主な対策や課題の一つに、以降のデータ処理を行わないようにするために、EU市民の要請に基づく情報の削除をどのように行うか、があります。このGDPRの対策にはいくつか注意点がありますが、合法的な削除要求は適切に処理されなければなりません。Druvaは情報が削除されたことを証明するための完全な監査証跡を含む、削除要求に応じられるようにする正当削除 (defensible deletion) 機能を提供します。

0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*