EU一般データ保護規則(GDPR)への対応手順・方法をわかりやすく解説します
EU一般データ保護規則(GDPR) への対応出来てますか?
EU一般データ保護規則(GDPR)違反には多額の制裁金が課されますので、GDPRへの対応は急務だと思われます。
ですが、GDPRへの対応は、やるべきことが沢山あり、何から手を付ければ良いかが分かりにくいと思います。
ですので、以下ではGDPRへの対応手順と方法について解説したいと思います。
◆GDPR対応の前提
まずは当然ですが、GDPRで問題となる「個人データ」がどのような業務でどのように扱われているかの「現状調査」が必要となります。
これにより、どの程度の対応が必要なのかをおおよそ知ることが可能となります。
◆GDPR対応の優先順位
では、次に上記の現状調査を基にして、「個人データ」が扱われている業務に対して、GDPR対応の優先順位を考えます。
まず、GDPR対応には二つの側面があります。
それは、
①GDPRへの「法的適合性」
②GDPRに則った「IT運用の適合性」
です。
①のGDPRへの法的適合性につきましては、最優先となります。
②GDPRに則ったIT運用の適合性につきましては、リスクベーストアプローチ(下記で説明)に従って順次整備していく必要があります。
◆GDPRへの法的適合性の内容
GDPRへの法的適合性の内容としましては大きく分けて
①個人データ処理が許されるための「法的根拠」(第6条)
②個人データ処理の公正性・透明性を担保するための「情報提供義務」(第13条・14条)
③個人データへの適切な「保護措置構築義務」(第24条1項)
④処理者に個人データを処理させる場合には、「処理契約の締結」(第28条)、個人データを第三国へ移転する場合には、「標準契約条項」や「標準データ保護条項」等のデータ移転契約の締結(第46条)
があります。
①の法的根拠には、「データ主体の同意」「契約上必要な場合」「法的義務」「第三者等の正当な利益」等があります。
②情報提供義務は「プライバシーノーティス」と呼ばれるもので、データ主体から直接個人データを取得する場合(第13条)と間接的に取得する場合(第14条)により、記載内容が変わります。
③の保護措置がIT運用の適合性に関わるものとなります。
④は管理者と処理者等の契約となります。
◆GDPRに則ったIT運用の適合性
上記③の保護措置の構築は、リスクベーストアプローチという手法で優先順位を判断します。
それは、プライバシー侵害の度合いの高いものから対応していくという手法で、「データの内容」と「データの量」を数値化し、その数値が大きいものがプライバシー侵害の度合いが高いとするアプローチです。
これにより、プライバシー侵害の度合いの高いものから保護措置を構築していく必要があります。