“忘れられる権利”が示すGDPR(EU一般データ保護規則)の高いハードル、解決策は?:「第17条」のIT部門への影響を考察
2018年5月に施行される欧州連合(EU)の「一般データ保護規則」は、IT部門によるストレージ管理やデータ管理の運用だけでなく、ビジネスのあらゆる面に大きな影響を及ぼす可能性がある。
EU一般データ保護規則(GDPR)99箇条の中でも、第17条がIT担当者にとって最も影響が大きいとみられる。
第17条は「消去の権利」(通称「忘れられる権利」)だ。簡単に言えば、個人が自身の全個人データを不当な遅滞なく消去するようデータ管理担当者に要求できる権利である。その際、要求を行う個人にコストはかからない。つまり、データ管理担当者は、消去を要求した個人の全ての個人データ(ファイル、データベース内のレコード、複製したコピー、バックアップコピー、アーカイブに移動した全てのコピー)を消去することになる。この消去を要求する権利は、若手IT担当者なら早期退職も考えるほど面倒なものだ。
併せて読みたいお薦めの記事
GDPRの基本
“忘れられる権利”について
GDPRへの対策
「データ管理担当者」と「データ処理担当者」という言葉は、GDPRとの関連で理解する必要がある。データ管理担当者とは、「PCや構造化した手製のファイルで個人情報を管理し、そのデータの保管や使用に責任を負う個人または法人」を指す。企業や団体のIT職がこれに当たる。
データ処理担当者とは、「個人データを保持または処理するが、個人データの管理には責任を負わないグループや組織」を指す。データを処理するクラウドや、データを保管するITデータセンターがこれに当たる。データセンターは社内の場合もあれば、外部委託の場合もある。データ管理担当者は、個人データの消去や、消去の確認を担当する。つまり、こうした運用業務の実行は担当するが、意思決定プロセスには責任を負わない。データ処理担当者は、データのコピーを保持したり、他の用途にそのコピーを利用したりすることはできない。
考慮すべき重要なポイントを以下に示す。
- 消去の権利への対応を免れる免責条項や免責事由はないため、企業や団体は消去への対応を計画しなければならない。
- 「不当な遅滞なく」というのは、月単位ではなく日単位と解釈される。技術的に読み取り不能になるまで待機するとか、古いバックアップコピーが上書きされるまで待つということでは決してない。
- 個人データを別の企業や団体に送信した場合、第17条では、データ管理担当者がデータの送付先企業や団体に該当個人データを消去するよう通知することを求めている。
- この要件は想像以上にグローバルに適用される。この要件が適用されるのは、EU圏に居住する個人の個人データで、データが保管されている場所や企業/団体の所在地は対象ではない。EUでビジネスを行う場合は、個人のプライバシーの保護を保証する必要がある。
- 罰金が巨額になる。個人データを消去しなかった例が1つでもあれば、全世界年間売上高の4%以下または2000万ユーロ(本稿執筆時点で2333万6000米ドル)以下の罰金が科せられる。罰金には段階的なアプローチが取られるが、個人データを消去したことを証明できなければ、全世界年間売上高の2%以下または1000万ユーロ以下の罰金が科せられる。このことから、経営幹部はIT部門と積極的に連携して、消去能力と適切な検証を整備せざるをえなくなる。
消去の権利のIT部門への影響
Copyright © ITmedia, Inc. All Rights Reserved.