一般データ保護規則(GDPR)の主な要件を満たすために、どこから手を付ければいい?慎重な分析、計画、設計を

EU一般データ保護規則(GDPR)を順守する大きな第一歩は「最も重要な要件を満たす」ことだ。本稿では、GDPRを順守するためにまずどこから手を付けるべきかを概説する。

2018年01月24日 05時00分 公開
[Steven WeilTechTarget]

 2018年5月25日に欧州連合(EU)の「一般データ保護規則(GDPR)」が施行となる。EU諸国でビジネスを行う企業のほとんどが、GDPRのデータプライバシーとセキュリティの要件を不足なく適切に満たす方法について頭を悩ませている。

 GDPRは、その所在地にかかわらず、EU諸国に居住している人々の個人データを処理、保持する全ての企業に適用される。

 GDPRの要件に順守しないと重い罰金が科せられることもある。違反した場合の罰金は最高で、全世界における年間売上高の4%、または2000万ユーロのいずれか高額な方になる。

 そのため企業は、GDPRの主な要件の幾つかと、それらを順守する実際的な方法について理解を深める必要がある。

GDPRが自社にどう適用されるかを定義する

 まず、GDPRが自社にどう適用されるかを見極めることだ。GDPRの対象となる企業は「データ管理業者」と「データ処理業者」の2種類に分かれる。

 データ管理業者とは、個人データを処理する目的や方法を決定する企業を指す。EUデータ主体に製品を販売しながら個人データを収集する小売業者などがこれに当たる。データ処理業者とは、データ管理業者の代理で個人データを処理する企業を指す。小売業者の代理でEUデータ主体に電子メールを送信するマーケティング企業などがこれに該当する。

 GDPRは、EU市民、EU市民以外でEU諸国内に居住する人々、さらにはEU諸国を訪れている観光客など、EUのあらゆるデータ主体に適用されると想定される。

 GDPRの要件は、EUデータ主体の個人データを処理または監視する企業であれば、拠点がEU諸国外であっても適用される。例えばEUデータ主体によって使用され、その個人データを収集するアプリケーションの開発会社は、米国を拠点にしていてもGDPRの適用を受ける。

 自社がデータ管理業者とデータ処理業者のいずれかに該当するかを見極める。それが、自社のGDPR履行義務を理解することと、適切な統制を実装してGDPRを順守することにおいて不可欠な第一歩になる。

個人データマップを作成する

 GDPRの要件を満たそうとする企業の大半にとって非常に厄介なのが、GDPRによる個人データの定義だ。GDPRが定義する個人データは幅広く、「個人を直接的または間接的に特定するために使用できる、個人に関連するあらゆる情報」としている。そのようなデータの一例には次のものがある。ただし、これには限定されない。

  • 氏名
  • 写真
  • メールアドレス
  • 金融口座の詳細
  • ソーシャルネットワークサービス(SNS)の投稿
  • 医療情報
  • IPアドレス
  • ID番号

 適切な統制とプロセスを実装して個人データを保護するには、これらの情報を収集、管理、保存する方法を完全に特定して計画する必要がある。また、企業が情報を入手し、社内で扱い、社外に出す一連の方法についても同様だ。保持している個人データや、関連データを扱うプロセスを保護することが定められているため、それらを特定も理解もしないままGDPRに順守することは難しい。

 個人データマップは、個人データを仮名化して非人格化できる部分を見つけるのにも役立つ。仮名化と非人格化はGDPRによって推奨されている。

 中小規模の企業なら個人データを手動でマッピングできるかもしれない。だが大企業は恐らくIntegrisやOneTrustなどのベンダーが提供するデータマッピングツールを使用する必要があるだろう。

サイバーセキュリティのベストプラクティスを実装する

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 Absolute Software株式会社

どこでも持ち歩ける“防具” 強固なゼロトラストネットワークアクセスの実現法

ハイブリッドワークの普及に伴い、企業ではリモートアクセスをどう保護するかが課題となっている。注目されるのは、全てのリソースを個別のセキュアな境界で保護する、ゼロトラストネットワークアクセスのアプローチだ。その実現法を探る。

製品資料 Absolute Software株式会社

G2 Grid Report要約版「ゼロトラストネットワーキングソフトウェア」

ゼロトラストネットワーキングソフトウェア製品を選定する際は、いくつかのポイントを押さえることが重要になる。本資料は、ビジネスソフトウェアのレビュープラットフォーム「G2」の要約から、そのポイントを解説する。

製品資料 パロアルトネットワークス株式会社

現在のSOCが抱える課題を解決、AI主導のセキュリティ運用基盤の実力とは?

最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。

製品資料 パロアルトネットワークス株式会社

CISOからセキュリティアナリストまで、役割ごとの課題から考える製品選びの勘所

CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。

技術文書・技術解説 パロアルトネットワークス株式会社

今さら聞けない「XDR」の基礎知識:EDRやEPP、SIEMと何がどう違うのか?

ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/07/22 UPDATE

  1. 縺ェ縺懊€後さ繝シ繝臥函謌植I縲阪r菫。縺倥※縺ッ縺�¢縺ェ縺�シ溘€€萓ソ蛻ゥ縺輔↓貎懊�窶�5縺、縺ョ繝ェ繧ケ繧ッ窶�
  2. 縺ェ縺懊€靴NAPP縲阪′縺�∪蠢�ヲ√↑縺ョ縺具シ溘€€CASB繧ГSPM縲∵里蟄倥ヤ繝シ繝ォ縺ィ縺ョ驕輔>縺ッ��
  3. 縲碁撼莠コ髢的D縲堺ソ晁ュキ縺梧€・蜍吶↓縲€46��′萓オ螳ウ繧堤オ碁ィ薙€√ョ繝シ繧ソ貍上∴縺�b逶ク谺。縺�
  4. 繝代せ繝ッ繝シ繝峨→莨シ縺ヲ縺�k縺代←螳牙�諤ァ縺悟、ァ驕輔>�溘€€縲後ヱ繧ケ繧ュ繝シ縲阪€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪→縺ッ
  5. 繧シ繝ュ繝医Λ繧ケ繝医€悟、ア謨�35��€坂€補€輔◎繧後〒繧や€懃樟迥カ邯ュ謖≫€昴%縺晏些縺ェ縺�炊逕ア
  6. 縺ェ縺懊€係indows Hello縲阪�窶懊ヱ繧ケ繝ッ繝シ繝我ク崎ヲ≫€昴〒繧ゆソ。鬆シ縺ァ縺阪k縺ョ縺具シ�
  7. 縺�∪縺輔i閨槭¢縺ェ縺�€郡IEM縲阪€郡OAR縲阪€傾DR縲阪�蠖ケ蜑イ縺ィ豢サ逕ィ繧キ繝シ繝ウ
  8. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  9. 窶懷腰邏斐↑謇句哨窶昴′諡帙>縺�93蜆��縺ョ蜈ャ驥題ゥ先ャコ縲€蟄ヲ縺カ縺ケ縺阪€後そ繧ュ繝・繝ェ繝�ぅ縺ョ驩�援縲阪→縺ッ��
  10. 窶懊←繧後′蜊ア髯コ縺銀€昴〒縺ッ縺ェ縺上€郡aaS縺昴�繧ゅ�縺瑚�蜻ス逧�€阪€€驥題檮CISO縺瑚。晄茶縺ョ荳€螢ー

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...