施行迫るGDPR “72時間ルール”に企業が警戒すべき理由：データ分析や不正検知が必須に（3/3 ページ）

[Peter Loshin，TechTarget]

GDPRのデータ漏えい通知義務に備える

　米国企業は、GDPRのデータ漏えい通知義務を順守するために、自社の業務プロセスや社内規則を一部変更する準備を進める必要がある。

　Compuwareのマクスウェル氏は、「GDPRによって、企業は個人データのライフサイクル管理にも積極的に取り組まざるを得なくなる。データの保管や処理について、各個人から同意を得るためだ。GDPRは、企業からの情報開示や個人データのコピー取得、個人データのインスタンス削除についても、個人に判断の権利を与える。ここに挙げたものについて、企業はいずれも要求を受けてから1カ月以内に応じなければならず、個人にその費用を請求することはできない」と語る。

　RES Softwareのグルーエン氏は、企業が今後、データ保護担当者（DPO）を採用する必要があると話す。ただし、GDPRの定める通知義務に米国企業が準拠するには、それだけでは足りないと同氏は指摘する。

　「米国企業がGDPRに準拠するには、DPOの採用だけでなく、最新テクノロジーの活用が欠かせない。例えば、データ収集や保護の自動化などだ。これまでのEUデータ保護指令は、現在のGDPRとは懸け離れていた。同データ漏えいを起こした企業のコンプライアンスについて調査することはあっても、厳格な罰則は用意していなかった。ただし、企業はGDPR違反者の第1号にはなりたくないだろう。GDPR違反の罰金は非常に高額になる可能性が高く、そうした企業は確実にトップニュースを飾るからだ」（グルーエン氏）

　ジョージア州アルファレッタに本社を構えるデータセキュリティ企業Blancco Technology Groupで最高戦略責任者（CSO）を務めるリチャード・スティーノン氏は、「ほとんどの企業が、データ漏えいを含むインシデント対応計画の見直しを迫られる。社内のDPOがデータ保護当局の担当者と良好な関係を築くことができれば、大きな助けになる。GDPRの定めた3日間（72時間）という時間は、データ漏えいの確認作業にさえ十分な長さとはいえない」と語る。

　「従来、データ漏えい被害に遭った企業は、長い時間をかけて状況を確認し、影響を受けたデータの量や再発防止に必要な手順を判断するなどの段階を経た後で、当局へ連絡していた。今後は、詳細を全て把握できていなかったとしても、データ漏えいが判明したら、企業は直ちに地域のデータ保護当局に通知しなければならない。企業は分かっていることを全て包み隠さずに開示すべきであり、うやむやにしようとしてはならない」（スティーノン氏）