2017年09月19日 05時00分 UPDATE
特集/連載

「第17条」のIT部門への影響を考察“忘れられる権利”が示すGDPR(EU一般データ保護規則)の高いハードル、解決策は?

2018年5月に施行される欧州連合(EU)の「一般データ保護規則」は、IT部門によるストレージ管理やデータ管理の運用だけでなく、ビジネスのあらゆる面に大きな影響を及ぼす可能性がある。

[Randy Kerns,TechTarget]

 EU一般データ保護規則(GDPR)99箇条の中でも、第17条がIT担当者にとって最も影響が大きいとみられる。

 第17条は「消去の権利」(通称「忘れられる権利」)だ。簡単に言えば、個人が自身の全個人データを不当な遅滞なく消去するようデータ管理担当者に要求できる権利である。その際、要求を行う個人にコストはかからない。つまり、データ管理担当者は、消去を要求した個人の全ての個人データ(ファイル、データベース内のレコード、複製したコピー、バックアップコピー、アーカイブに移動した全てのコピー)を消去することになる。この消去を要求する権利は、若手IT担当者なら早期退職も考えるほど面倒なものだ。

 「データ管理担当者」と「データ処理担当者」という言葉は、GDPRとの関連で理解する必要がある。データ管理担当者とは、「PCや構造化した手製のファイルで個人情報を管理し、そのデータの保管や使用に責任を負う個人または法人」を指す。企業や団体のIT職がこれに当たる。

 データ処理担当者とは、「個人データを保持または処理するが、個人データの管理には責任を負わないグループや組織」を指す。データを処理するクラウドや、データを保管するITデータセンターがこれに当たる。データセンターは社内の場合もあれば、外部委託の場合もある。データ管理担当者は、個人データの消去や、消去の確認を担当する。つまり、こうした運用業務の実行は担当するが、意思決定プロセスには責任を負わない。データ処理担当者は、データのコピーを保持したり、他の用途にそのコピーを利用したりすることはできない。

 考慮すべき重要なポイントを以下に示す。

  • 消去の権利への対応を免れる免責条項や免責事由はないため、企業や団体は消去への対応を計画しなければならない。
  • 「不当な遅滞なく」というのは、月単位ではなく日単位と解釈される。技術的に読み取り不能になるまで待機するとか、古いバックアップコピーが上書きされるまで待つということでは決してない。
  • 個人データを別の企業や団体に送信した場合、第17条では、データ管理担当者がデータの送付先企業や団体に該当個人データを消去するよう通知することを求めている。
  • この要件は想像以上にグローバルに適用される。この要件が適用されるのは、EU圏に居住する個人の個人データで、データが保管されている場所や企業/団体の所在地は対象ではない。EUでビジネスを行う場合は、個人のプライバシーの保護を保証する必要がある。
  • 罰金が巨額になる。個人データを消去しなかった例が1つでもあれば、全世界年間売上高の4%以下または2000万ユーロ(本稿執筆時点で2333万6000米ドル)以下の罰金が科せられる。罰金には段階的なアプローチが取られるが、個人データを消去したことを証明できなければ、全世界年間売上高の2%以下または1000万ユーロ以下の罰金が科せられる。このことから、経営幹部はIT部門と積極的に連携して、消去能力と適切な検証を整備せざるをえなくなる。

消去の権利のIT部門への影響

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news091.jpg

グランドデザインの「Gotcha!mall」がDMA国際エコー賞を受賞
グランドデザインは、同社のスマートフォンオムニチャネルプラットフォーム「Gotcha!mall...

news088.jpg

コムニコマーケティングスイート、Instagramアカウント分析機能を拡張
コムニコは、ソーシャルメディア運営支援ツール「コムニコマーケティングスイート」のIns...

news034.jpg

Salesforce Pardot、「日本語化」だけではない重要な強化ポイントとは?
本稿では「Salesforce World Tour Tokyo 2017」におけるセッション「生まれ変わったPardo...