一般データ保護規則（GDPR）の主な要件を満たすために、どこから手を付ければいい？：慎重な分析、計画、設計を

EU一般データ保護規則（GDPR）を順守する大きな第一歩は「最も重要な要件を満たす」ことだ。本稿では、GDPRを順守するためにまずどこから手を付けるべきかを概説する。

≫ 2018年01月24日 05時00分公開

[Steven Weil，TechTarget]

併せて読みたいお薦め記事

今からでも間に合う「GDPR」対策

GDPRについてもっと詳しく

GDPRが自社にどう適用されるかを定義する

　まず、GDPRが自社にどう適用されるかを見極めることだ。GDPRの対象となる企業は「データ管理業者」と「データ処理業者」の2種類に分かれる。

　データ管理業者とは、個人データを処理する目的や方法を決定する企業を指す。EUデータ主体に製品を販売しながら個人データを収集する小売業者などがこれに当たる。データ処理業者とは、データ管理業者の代理で個人データを処理する企業を指す。小売業者の代理でEUデータ主体に電子メールを送信するマーケティング企業などがこれに該当する。

　GDPRは、EU市民、EU市民以外でEU諸国内に居住する人々、さらにはEU諸国を訪れている観光客など、EUのあらゆるデータ主体に適用されると想定される。

　GDPRの要件は、EUデータ主体の個人データを処理または監視する企業であれば、拠点がEU諸国外であっても適用される。例えばEUデータ主体によって使用され、その個人データを収集するアプリケーションの開発会社は、米国を拠点にしていてもGDPRの適用を受ける。

　自社がデータ管理業者とデータ処理業者のいずれかに該当するかを見極める。それが、自社のGDPR履行義務を理解することと、適切な統制を実装してGDPRを順守することにおいて不可欠な第一歩になる。

個人データマップを作成する

　GDPRの要件を満たそうとする企業の大半にとって非常に厄介なのが、GDPRによる個人データの定義だ。GDPRが定義する個人データは幅広く、「個人を直接的または間接的に特定するために使用できる、個人に関連するあらゆる情報」としている。そのようなデータの一例には次のものがある。ただし、これには限定されない。

氏名
写真
メールアドレス
金融口座の詳細
ソーシャルネットワークサービス（SNS）の投稿
医療情報
IPアドレス
ID番号

　適切な統制とプロセスを実装して個人データを保護するには、これらの情報を収集、管理、保存する方法を完全に特定して計画する必要がある。また、企業が情報を入手し、社内で扱い、社外に出す一連の方法についても同様だ。保持している個人データや、関連データを扱うプロセスを保護することが定められているため、それらを特定も理解もしないままGDPRに順守することは難しい。

　個人データマップは、個人データを仮名化して非人格化できる部分を見つけるのにも役立つ。仮名化と非人格化はGDPRによって推奨されている。

　中小規模の企業なら個人データを手動でマッピングできるかもしれない。だが大企業は恐らくIntegrisやOneTrustなどのベンダーが提供するデータマッピングツールを使用する必要があるだろう。

サイバーセキュリティのベストプラクティスを実装する

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

会員登録（無料）が必要です

邯壹″繧定ｪｭ繧

TechTargetジャパントップセキュリティ