2017年09月19日 05時00分 UPDATE
特集/連載

「第17条」のIT部門への影響を考察“忘れられる権利”が示すGDPR(EU一般データ保護規則)の高いハードル、解決策は?

2018年5月に施行される欧州連合(EU)の「一般データ保護規則」は、IT部門によるストレージ管理やデータ管理の運用だけでなく、ビジネスのあらゆる面に大きな影響を及ぼす可能性がある。

[Randy Kerns,TechTarget]

 EU一般データ保護規則(GDPR)99箇条の中でも、第17条がIT担当者にとって最も影響が大きいとみられる。

 第17条は「消去の権利」(通称「忘れられる権利」)だ。簡単に言えば、個人が自身の全個人データを不当な遅滞なく消去するようデータ管理担当者に要求できる権利である。その際、要求を行う個人にコストはかからない。つまり、データ管理担当者は、消去を要求した個人の全ての個人データ(ファイル、データベース内のレコード、複製したコピー、バックアップコピー、アーカイブに移動した全てのコピー)を消去することになる。この消去を要求する権利は、若手IT担当者なら早期退職も考えるほど面倒なものだ。

 「データ管理担当者」と「データ処理担当者」という言葉は、GDPRとの関連で理解する必要がある。データ管理担当者とは、「PCや構造化した手製のファイルで個人情報を管理し、そのデータの保管や使用に責任を負う個人または法人」を指す。企業や団体のIT職がこれに当たる。

 データ処理担当者とは、「個人データを保持または処理するが、個人データの管理には責任を負わないグループや組織」を指す。データを処理するクラウドや、データを保管するITデータセンターがこれに当たる。データセンターは社内の場合もあれば、外部委託の場合もある。データ管理担当者は、個人データの消去や、消去の確認を担当する。つまり、こうした運用業務の実行は担当するが、意思決定プロセスには責任を負わない。データ処理担当者は、データのコピーを保持したり、他の用途にそのコピーを利用したりすることはできない。

 考慮すべき重要なポイントを以下に示す。

  • 消去の権利への対応を免れる免責条項や免責事由はないため、企業や団体は消去への対応を計画しなければならない。
  • 「不当な遅滞なく」というのは、月単位ではなく日単位と解釈される。技術的に読み取り不能になるまで待機するとか、古いバックアップコピーが上書きされるまで待つということでは決してない。
  • 個人データを別の企業や団体に送信した場合、第17条では、データ管理担当者がデータの送付先企業や団体に該当個人データを消去するよう通知することを求めている。
  • この要件は想像以上にグローバルに適用される。この要件が適用されるのは、EU圏に居住する個人の個人データで、データが保管されている場所や企業/団体の所在地は対象ではない。EUでビジネスを行う場合は、個人のプライバシーの保護を保証する必要がある。
  • 罰金が巨額になる。個人データを消去しなかった例が1つでもあれば、全世界年間売上高の4%以下または2000万ユーロ(本稿執筆時点で2333万6000米ドル)以下の罰金が科せられる。罰金には段階的なアプローチが取られるが、個人データを消去したことを証明できなければ、全世界年間売上高の2%以下または1000万ユーロ以下の罰金が科せられる。このことから、経営幹部はIT部門と積極的に連携して、消去能力と適切な検証を整備せざるをえなくなる。

消去の権利のIT部門への影響

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news075.jpg

KPIの到達可能性をAIが判断して広告配信を自動最適化、マイクロアドが「UNIVERSE FFM Version1.0」を提供
マイクロアドは、「UNIVERSE フルファネルマネジメント Version1.0」を提供開始した。

news061.jpg

マーケティングオートメーション×LPO トライベック・ストラテジーとデータアーティストがツール連携
トライベック・ストラテジーとデータアーティストは、それぞれが提供するツールの連携を...

news053.jpg

電通デジタルとビービット、マーケティングオートメーションのシナリオをPDCAで支援する独自メソッド提供
電通デジタルはビービットと共同で、デジタル行動観察ツール「ユーザグラム」を活用し、...