GDPR適用開始で「サイバーセキュリティ保険」の保険料が増える？：欧州一般データ保護規則「GDPR」がもたらす“本当の問題”とは【前編】

EUの「一般データ保護規則（GDPR）」の適用開始まで1年を切り、その順守について真剣に取り組むべき時がきた。具体的に何をすればよいのか。

[Peter Loshin，TechTarget]

GDPR順守に向けて企業がやるべきこととは

　欧州連合（EU）の「一般データ保護規則」（GDPR）が2016年5月24日に発行し、2018年5月25日に適用開始となる。EUに暮らす個人に関するデータを保持する世界中の企業には、GDPRの順守を始めるまで後1年しか残されていない。GDPRを順守しなければ、最大で前年度売上高の4％か、2千万ユーロのどちらか多い方が罰金として科される。

　GDPRの順守は、企業がGDPRの保護対象となるデータ（EUに暮らす個人に関係する情報）を特定し、そのデータが不正に開示されないよう保護することを意味する。またGDPRの適用対象となる人々に対して自らのデータを確認、管理できるようにしながら、GDPRの下で、人々の過去の情報に対する「忘れられる権利」を守れるようにしなければならない。

　GDPRの適用開始まで残り1年となった今、世界各国の企業がGDPR順守の必要性を認識しつつある。こうした状況を受けて、米国マサチューセッツ州ローエルに本拠地を置くネットワークとITセキュリティ会社CSPiで統括マネジャーを務めるゲアリー・サウスウェル氏は、GDPRを順守する際の課題についてTechTargetのインタビューに答えた。

――　企業がGDPRを順守するために残された時間はあと1年です。GDPRを順守するために、企業はどのような手順を踏むべきでしょうか。

サウスウェル氏　企業に残された時間はあまり多くない。まずEU加盟国で公式にビジネスをしているかどうかを把握する必要がある。ビジネスをしている場合は、GDPRについてかなり真剣に考えなければならない。

　EUで公式にビジネスをしており、EU加盟国または英国のいずれかに製品やサービスを販売するための登記をしている場合は、GDPRの文言に従う必要がある。社内に連絡窓口の担当者を設けて、規制対象の国の当局とやりとりできるようにすることを強くお勧めする。関係を維持するには、窓口を用意しなければならない。

　次に、規制がどのような影響をもたらすのかについて調査を始めることになるだろう。特に重要なのが、データ漏えいの発生後、72時間以内にその事実を通知することだ。72時間以内に通知するには、対象となる国の中で、誰に通知すべきかを把握できていなければならない。この調査を通して、手続きを始めるタイミングや順守のために何をする必要があるかを把握できるようになる。

――　当局とやりとりする窓口担当者は、各社のデータプライバシー担当者になるのでしょうか。

サウスウェル氏　データプライバシー担当者の任命は、個人情報を大量に処理する企業にのみ義務付けられている。EUでビジネスをしていても、EUに暮らす人々のデータを1カ月に数百件収集するだけの企業と、1秒に何百件ものデータを処理するクレジットカードのデータ処理企業とでは事情が異なる。こうした大量の個人データを扱う企業では、データプライバシー担当者を必ず任命する必要があり、そこに注力しなければならない。

　可能であれば問題が起きた場合に対処法が分かるよう、データプライバシー担当者との連絡役を担う人材が必要だ。ただし企業として、公式にこのような役職を用意する必要はないだろう。

――　企業がGDPRを順守して、その状態を維持するには、データの特定と追跡に関連して多くの作業が伴います。その作業を担当する人材を雇用することはできますか。

続きは「TechTargetジャパンプレミアム」にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• 欧州一般データ保護規則「GDPR」がもたらす“本当の問題”とは

■併せて読みたいお薦め記事

施行迫るGDPR　“72時間ルール”に企業が警戒すべき理由

GDPR対策にデータ追跡と暗号化が必須な理由

EUの「一般データ保護規則」（GDPR）、施行日までに確認すべきポイントは