「GDPR」第17条“忘れられる権利”がもたらす問題と技術的対策：第17条「消去の権利」の対策を整理

「一般データ保護規則」（GDPR）の順守はオプションではない。違反すれば甚大な被害が生じる恐れがある。GDPR対策を進める上で認識しておくべきことを整理する。

≫ 2018年04月24日 09時00分公開

[Marc Staimer，TechTarget]

併せて読みたいお薦め記事

“忘れられる権利”についてもっと詳しく

GDPR対策についてもっと詳しく

検討すべきGDPRの条項

　GDPRの要件を満たすことは簡単ではなく、極めて困難になることもある。IT担当者はその全ての要件に精通する必要がある。プロセスやシステムの追加や調整が必要になる要件は、重要度が高くなる。

　IT担当者が特に検討すべきGDPRの条項は、以下の通りだ。

第6条：同意の管理
- 組織がEU居住者の個人データを収集する場合、居住者から収集に対する同意を事前に得なければならない。その同意は文書にして保管、保護し、簡単に提出できる必要がある。同意文書は要求に応じてEU規制当局に提出しなければならない
第25条：データ保護
- 個人データを収集するプロセスとツールには、データ保護の仕組みを組み込んでいなければならない
第25条：データの最小化
- 収集および保存する個人データの量と、そのデータを保持する期間は、最小限に抑えなければならない。データの保持については、長期間の保持が求められる健康記録や犯罪歴など、他の記録保持規則とのバランスを取ることが求められる
第25条、第32条：最新テクノロジーの採用
- GDPRはテクノロジーの進化を背景に、将来性のあるITシステムとプロセスを要求する。つまりGDPR順守には最新テクノロジーの導入が不可欠となるわけだ。コストやリスクなどの事情によってそうしたテクノロジーを導入できない場合は、理由を提示する必要がある。順守状況は定期的に確認しなければならない
第32条：処理のセキュリティ
- リスクのレベルに応じて適切にセキュリティを確保しなければならない。組織が運用するシステムやサービスに関して、継続的な機密の保持と整合性、可用性、復元性の確保が求められる。停電や障害が発生した後も、個人データの可用性とこうしたデータへのアクセスを「タイムリー」に復旧できることが求められる。数週間や数カ月ではなく、数時間から数日で復旧しなければならない。有効性を定期的にテストして評価するプロセスをドキュメントにまとめることも必要になる
第44～50条：データの移転
- 主にクラウドベンダーを対象とするこれらの条項では、取得した個人データについて、EU諸国やそれと同等のプライバシー保護ポリシーがある国（カナダなど）に保管することを義務付けている。米国など他の国に個人データを移転または保管する場合は、GDPR要件に匹敵する、拘束力のある組織内ルールを整備しなければならない
第17条：消去の権利
- 一般に「忘れ去られる権利」として知られるこの要件は、GDPR順守を目指すIT担当者にとって最も胃が痛くなる条項だろう。この条項は、以下の各状況で個人データを完全に削除することを求めている
  - EU居住者から要求された場合
  - 個人データを収集する目的がなくなった場合
  - EU居住者の同意が取り下げられた場合

「忘れられる権利」がもたらす問題

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

TechTargetジャパントップセキュリティ