2018年04月24日 09時00分 公開
特集/連載

第17条「消去の権利」の対策を整理「GDPR」第17条“忘れられる権利”がもたらす問題と技術的対策

「一般データ保護規則」(GDPR)の順守はオプションではない。違反すれば甚大な被害が生じる恐れがある。GDPR対策を進める上で認識しておくべきことを整理する。

[Marc Staimer,TechTarget]
画像

 2018年5月25日、EU一般データ保護規則(GDPR)が施行される。これは重大な出来事だ。EU居住者の個人データとプライバシーの保護を目的とする、この厳格な規制によって、データの処理や保管、保護、アーカイブの方法が変わる可能性がある。

 組織にとってGDPR順守は小さな問題ではない。順守しなければ廃業に追い込まれる恐れもある。まずはGDPRと現行法との大きな違いを理解することだ。

 GDPRは必要となる役割やプロセス、テクノロジーを明記している。これらを用いてEU居住者の個人データに対するセキュリティ保護や適切な使用などを実現することになる。

 EU居住者に製品/サービスを提供する組織も、EU居住者に関するデータを集めるだけの組織も、そのデータの使用場所や保管場所を問わずGDPRを順守しなければならない。GDPR順守はオプションではない。「現行法に従っている情報システムやプロセスであれば、GDPRの要件も満たしているだろう」という臆測を立ててはならない。その臆測は、恐らく間違っているからだ。

検討すべきGDPRの条項

 GDPRの要件を満たすことは簡単ではなく、極めて困難になることもある。IT担当者はその全ての要件に精通する必要がある。プロセスやシステムの追加や調整が必要になる要件は、重要度が高くなる。

 IT担当者が特に検討すべきGDPRの条項は、以下の通りだ。

  • 第6条:同意の管理
    • 組織がEU居住者の個人データを収集する場合、居住者から収集に対する同意を事前に得なければならない。その同意は文書にして保管、保護し、簡単に提出できる必要がある。同意文書は要求に応じてEU規制当局に提出しなければならない
  • 第25条:データ保護
    • 個人データを収集するプロセスとツールには、データ保護の仕組みを組み込んでいなければならない
  • 第25条:データの最小化
    • 収集および保存する個人データの量と、そのデータを保持する期間は、最小限に抑えなければならない。データの保持については、長期間の保持が求められる健康記録や犯罪歴など、他の記録保持規則とのバランスを取ることが求められる
  • 第25条、第32条:最新テクノロジーの採用
    • GDPRはテクノロジーの進化を背景に、将来性のあるITシステムとプロセスを要求する。つまりGDPR順守には最新テクノロジーの導入が不可欠となるわけだ。コストやリスクなどの事情によってそうしたテクノロジーを導入できない場合は、理由を提示する必要がある。順守状況は定期的に確認しなければならない
  • 第32条:処理のセキュリティ
    • リスクのレベルに応じて適切にセキュリティを確保しなければならない。組織が運用するシステムやサービスに関して、継続的な機密の保持と整合性、可用性、復元性の確保が求められる。停電や障害が発生した後も、個人データの可用性とこうしたデータへのアクセスを「タイムリー」に復旧できることが求められる。数週間や数カ月ではなく、数時間から数日で復旧しなければならない。有効性を定期的にテストして評価するプロセスをドキュメントにまとめることも必要になる
  • 第44〜50条:データの移転
    • 主にクラウドベンダーを対象とするこれらの条項では、取得した個人データについて、EU諸国やそれと同等のプライバシー保護ポリシーがある国(カナダなど)に保管することを義務付けている。米国など他の国に個人データを移転または保管する場合は、GDPR要件に匹敵する、拘束力のある組織内ルールを整備しなければならない
  • 第17条:消去の権利
    • 一般に「忘れ去られる権利」として知られるこの要件は、GDPR順守を目指すIT担当者にとって最も胃が痛くなる条項だろう。この条項は、以下の各状況で個人データを完全に削除することを求めている
      • EU居住者から要求された場合
      • 個人データを収集する目的がなくなった場合
      • EU居住者の同意が取り下げられた場合

「忘れられる権利」がもたらす問題

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news018.jpg

2018年新卒の約6割が入社を後悔――レバレジーズ調べ
レバレジーズは、2018年に新卒入社した人を対象に、就職先に関する意識調査を実施しました。

news005.jpg

小さく始めるHubSpot、マーケティングの流れにそってバランス良く施策を実践しよう
HubSpotで始めるマーケティング。最初の一歩はここから始めましょう。

news088.jpg

アライドアーキテクツ、ファンマーケティングクラウド「ブランドタッチ」を提供開始
アライドアーキテクツは、ブランドの支持者を発掘し、起用を支援するクラウドサービス「...