“忘れられる権利”が示すGDPR（EU一般データ保護規則）の高いハードル、解決策は？：「第17条」のIT部門への影響を考察

2018年5月に施行される欧州連合（EU）の「一般データ保護規則」は、IT部門によるストレージ管理やデータ管理の運用だけでなく、ビジネスのあらゆる面に大きな影響を及ぼす可能性がある。

[Randy Kerns，TechTarget]

　EU一般データ保護規則（GDPR）99箇条の中でも、第17条がIT担当者にとって最も影響が大きいとみられる。

　第17条は「消去の権利」（通称「忘れられる権利」）だ。簡単に言えば、個人が自身の全個人データを不当な遅滞なく消去するようデータ管理担当者に要求できる権利である。その際、要求を行う個人にコストはかからない。つまり、データ管理担当者は、消去を要求した個人の全ての個人データ（ファイル、データベース内のレコード、複製したコピー、バックアップコピー、アーカイブに移動した全てのコピー）を消去することになる。この消去を要求する権利は、若手IT担当者なら早期退職も考えるほど面倒なものだ。

併せて読みたいお薦めの記事

GDPRの基本

• 5分で分かる「GDPR」（EU一般データ保護規則）の基本
• いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？

“忘れられる権利”について

• EU「一般データ保護規則」（GDPR）に盛り込まれた“忘れられる権利”をどう守る？

GDPRへの対策

• 施行迫るGDPR　“72時間ルール”に企業が警戒すべき理由
• GDPR対策にデータ追跡と暗号化が必須な理由

　「データ管理担当者」と「データ処理担当者」という言葉は、GDPRとの関連で理解する必要がある。データ管理担当者とは、「PCや構造化した手製のファイルで個人情報を管理し、そのデータの保管や使用に責任を負う個人または法人」を指す。企業や団体のIT職がこれに当たる。

　データ処理担当者とは、「個人データを保持または処理するが、個人データの管理には責任を負わないグループや組織」を指す。データを処理するクラウドや、データを保管するITデータセンターがこれに当たる。データセンターは社内の場合もあれば、外部委託の場合もある。データ管理担当者は、個人データの消去や、消去の確認を担当する。つまり、こうした運用業務の実行は担当するが、意思決定プロセスには責任を負わない。データ処理担当者は、データのコピーを保持したり、他の用途にそのコピーを利用したりすることはできない。

　考慮すべき重要なポイントを以下に示す。

• 消去の権利への対応を免れる免責条項や免責事由はないため、企業や団体は消去への対応を計画しなければならない。
• 「不当な遅滞なく」というのは、月単位ではなく日単位と解釈される。技術的に読み取り不能になるまで待機するとか、古いバックアップコピーが上書きされるまで待つということでは決してない。
• 個人データを別の企業や団体に送信した場合、第17条では、データ管理担当者がデータの送付先企業や団体に該当個人データを消去するよう通知することを求めている。
• この要件は想像以上にグローバルに適用される。この要件が適用されるのは、EU圏に居住する個人の個人データで、データが保管されている場所や企業／団体の所在地は対象ではない。EUでビジネスを行う場合は、個人のプライバシーの保護を保証する必要がある。
• 罰金が巨額になる。個人データを消去しなかった例が1つでもあれば、全世界年間売上高の4％以下または2000万ユーロ（本稿執筆時点で2333万6000米ドル）以下の罰金が科せられる。罰金には段階的なアプローチが取られるが、個人データを消去したことを証明できなければ、全世界年間売上高の2％以下または1000万ユーロ以下の罰金が科せられる。このことから、経営幹部はIT部門と積極的に連携して、消去能力と適切な検証を整備せざるをえなくなる。

消去の権利のIT部門への影響