「GDPR」順守のための態勢作りを確実かつ効率的に進めるには、セキュリティ製品をはじめとするシステムの導入が有効です。GDPR対策に役立つ製品分野を紹介します。
第2回「『GDPR』条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは?」では、欧州連合(EU)の一般データ保護規則、いわゆる「GDPR」(General Data Protection Regulation、以下GDPR)で制裁金を課されないために必要な対策を解説しました。特にシステム面で対処すべきこととして紹介したのが、以下の2点です。
1つ目の「プライバシー保護に関する要件を順守するためのシステム対応」については、EUの現行法である「データ保護指令」(EU Directive 95/46/EC)に基づいて作られた「第29条作業部会」(Article 29 Working Party)という組織が、さまざまなガイドラインを作成しています(本稿執筆時点ではドラフト版だったり、未公表だったりするガイドラインもあります)。
企業はこれらのガイドラインを参考に要件順守の仕組みを検討し、個人データを収集/活用する自社サービスに落とし込んで、システムとして実装する方法を検討することになります。例えば自社サービスの一般ユーザーに対して、個人データを取得する際の通知方法や同意取得の画面構成、システム制御の方法などを検討します。
2つ目の「セキュリティリスク低減のためのシステム対応」を検討する際は、フランスのデータ保護機関である情報処理・自由全国委員会(CNIL)のガイドライン「SECURITY OF PERSONAL DATA」が参考になります。連載第2回でも紹介したこのガイドラインは、EU現行法のデータ保護指令に基づくものですが、GDPR対策でも参考になります(注)。
※注:CNILは2018年1月、このガイドラインの改訂版として、GDPRに基づく同種のガイドライン(フランス語版)を公開しました。一部項目の名称変更や「Webサイトのセキュリティ」をはじめとする項目追加がありますが、中心的な要素は共通しています。
前回も紹介した通り、このガイドラインは要件順守状況の判断に役立つ、アセスメント用のチェックリストを掲載しています。以下にその項目を示します(日本語訳は著者による)。
ここからは上記の各項目に関して、有用だと考えられるシステム面での対策を検討します。本稿で説明する対策は、各種ガイドラインを基に検討し得る一般的な対策であり、GDPR順守のために全ての対策の導入が必須となるわけではないことに注意してください。各企業では、それぞれのオフィスや従業員、システムの状況などを考慮して、必要な対策を検討することになります。
脅威が顕在化したときの影響の大きさを示す「リスク」を管理するには、以下の取り組みが重要です。
インベントリーについては、国内企業では一般的に「個人情報管理台帳」の形で個人データを管理しているので、その延長線上のものとして捉えることができます。GDPR対策として新たにインベントリーを作成するよりも、現状の個人情報管理台帳に必要な事項を追加する方が現実的です。
脅威やリスクの評価に関しては、「プライバシーマーク」(Pマーク)や「情報セキュリティマネジメントシステム」(ISMS)といったセキュリティ認証制度で求められるリスクアセスメントと同様の形で実施します。
ユーザー認証では、なりすましや不正ログインを防ぐために、以下のような対策が有効です。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
CMOが生き残るための鍵は「生産性」――2025年のマーケティング予測10選【中編】
不確実性が高まる中でもマーケターは生産性を高め、成果を出す必要がある。「Marketing D...
世界のモバイルアプリ市場はこう変わる 2025年における5つの予測
生成AIをはじめとする技術革新やプライバシー保護の潮流はモバイルアプリ市場に大きな変...
営業との連携、マーケティング職の64.6%が「課題あり」と回答 何が不満なのか?
ワンマーケティングがB2B企業の営業およびマーケティング職のビジネスパーソン500人を対...