「GDPR」順守のための態勢作りを確実かつ効率的に進めるには、セキュリティ製品をはじめとするシステムの導入が有効です。GDPR対策に役立つ製品分野を紹介します。
第2回「『GDPR』条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは?」では、欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)で制裁金を課されないために必要な対策を解説しました。特にシステム面で対処すべきこととして紹介したのが、以下の2点です。
1つ目の「プライバシー保護に関する要件を順守するためのシステム対応」については、EUの現行法である「データ保護指令」(EU Directive 95/46/EC)に基づいて作られた「第29条作業部会」(Article 29 Working Party)という組織が、さまざまなガイドラインを作成しています(本稿執筆時点ではドラフト版だったり、未公表だったりするガイドラインもあります)。
企業はこれらのガイドラインを参考に要件順守の仕組みを検討し、個人データを収集/活用する自社サービスに落とし込んで、システムとして実装する方法を検討することになります。例えば自社サービスの一般ユーザーに対して、個人データを取得する際の通知方法や同意取得の画面構成、システム制御の方法などを検討します。
2つ目の「セキュリティリスク低減のためのシステム対応」を検討する際は、フランスのデータ保護機関である情報処理・自由全国委員会(CNIL)のガイドライン「SECURITY OF PERSONAL DATA」が参考になります。連載第2回でも紹介したこのガイドラインは、EU現行法のデータ保護指令に基づくものですが、GDPR対策でも参考になります(注)。
※注:CNILは2018年1月、このガイドラインの改訂版として、GDPRに基づく同種のガイドライン(フランス語版)を公開しました。一部項目の名称変更や「Webサイトのセキュリティ」をはじめとする項目追加がありますが、中心的な要素は共通しています。
前回も紹介した通り、このガイドラインは要件順守状況の判断に役立つ、アセスメント用のチェックリストを掲載しています。以下にその項目を示します(日本語訳は著者による)。
ここからは上記の各項目に関して、有用だと考えられるシステム面での対策を検討します。本稿で説明する対策は、各種ガイドラインを基に検討し得る一般的な対策であり、GDPR順守のために全ての対策の導入が必須となるわけではないことに注意してください。各企業では、それぞれのオフィスや従業員、システムの状況などを考慮して、必要な対策を検討することになります。
脅威が顕在化したときの影響の大きさを示す「リスク」を管理するには、以下の取り組みが重要です。
インベントリーについては、国内企業では一般的に「個人情報管理台帳」の形で個人データを管理しているので、その延長線上のものとして捉えることができます。GDPR対策として新たにインベントリーを作成するよりも、現状の個人情報管理台帳に必要な事項を追加する方が現実的です。
脅威やリスクの評価に関しては、「プライバシーマーク」(Pマーク)や「情報セキュリティマネジメントシステム」(ISMS)といったセキュリティ認証制度で求められるリスクアセスメントと同様の形で実施します。
ユーザー認証では、なりすましや不正ログインを防ぐために、以下のような対策が有効です。
広告収入稼ぎの低品質サイト「MFA」を排除するため、マーケターにできることとは?
MFA(Made For Advertising)サイトの本質的な問題点とは何か。マーケターはMFA排除のた...
“なんちゃってマック”で「チキンビッグマック」体験etc. 米マクドナルドのマルチチャネル過ぎるキャンペーン
McDonald’sは米国での「チキンビッグマック」新発売に当たり、若年層とのつながりを強化...
これからのB2Bマーケティングに必須の「MOps」の役割とは? 旭化成エレクトロニクスに聞く
市場環境が刻々と変化する中で、顧客ニーズを捉えるために新しいマーケティング手法やツ...