GDPR

全てを一度に変える必要はない：GDPR対応プロセスについて

2018-05-16

カテゴリー GDPR

記事をシェアする:

ビジネスにおいて、新年度を契機に何かを変えようと思い立つことはよくあることです。一般データ保護規則（GDPR）の発効を5月に控えた今、IBMセキュリティーのGDPRフレームワークも次の段階を視野に入れるべきかもしれません。

次の段階（構築段階）の目標は、GDPRが2018年5月25日に発効する前に、最低限の準備状況を整えることで、理想としてはプライバシー・リスクの影響評価まで策定することです。これは、規制当局が優先度を高めて確認したいと考えている項目の1つです。

第2の目標は、GDPR第30項、処理記録の要件に対応する準備を整えることです。そのためには、個人データの保管場所や処理場所、それに関連する情報など、ビジネスに関連する個人データのリストやカタログを提供する必要があります。

GDP準備状況へのパーソナライズされたガイダンスでGDP対応の進捗を評価

準備に向けて変革を始める

直近のブログ記事では、「何をする必要があるのか」「どうすればそれが可能なのか」を判別するプロセスについて説明しました。ここまで進んでいれば、その過程で重要な決定を下す必要があり、既に計画も立案済みでしょう。GDPRへの準備に向けて変革を始めることが、構築段階のすべてです。スタートは急速な変化ではなく、ゆっくりと落ち着いたものになりますが、これによって自分が必要だと思った変更を加える余裕が生まれ、漸進的なアプローチを取ることができます。

このように、急速な変化が求められる時期ではありませんが、問題があるかもしれないということを認識するのには適した時期です。実際、フレームワーク全体で、構築段階が重要な要素となる理由がそこにあります。このフェーズのおかげで、問題を突き止め、何が効果的で、何が効果的でないかを、コントロールされた環境下で判断できるのです。専用サーキットでの路上テストに例えて考えてみましょう。間違いを簡単に検出できる一方で、大惨事になる可能性はありません。

どこから始めるべきか

GDPRのプライバシー要件について言及すると、構築段階でデータ主体アクセス要求に関連するものも含め、ポリシー、プロセス、テクノロジーを実装し、実行することを求められます。また、GDPRのセキュリティー要件を満たすためには暗号化、トークン化、動的マスキングなど、プライバシー強化コントロールの実装を開始する必要があります。

さらに、アクセス制御、アクティビティーの監視、アラートなど、必要なセキュリティー・コントロールを実装することも検討し、アクセス・リスクやセキュリティー上の脆弱性を検出した場合には、それらを緩和するための対策も求められます。

変えるべき対象は何か

フレームワークの評価と設計を終えている場合（この時点では、おそらく終えていると思いますが）、構築の対象は何なのかという答えを明確にしましょう。この評価・設計段階では、目標を特定して指標を決定し、チームに焦点を合わせ、計画に同意しました。なぜなら、前進するためには団結して努力する必要があるためです。

構築段階では、GDPRのプライバシー要件を満たすための新しいプロセスと手順を始めることになります。同時に、セキュリティー強化コントロールを本格的に展開することもできます。パイロット・チームでその内容をテストし、何が役に立つかを判別しましょう。その際、組織の一部に大きな変化をもたらす可能性もあるので、注意してください。可能な限り円滑に新しいポリシーや手順へ移行できるように配慮するのも、重要な仕事です。

成功するためには

物事の進め方に大きな変化を加える過程では、不満や問題が生まれます。構築を進めるための正解は存在しませんが、現時点で不要な摩擦を避けるための、ベスト・プラクティスを挙げてみます。

関係者に注意を払うこと。
問題を見つけ、実行可能な解決法を提案する上で、重要なポジションにいる関係者に注意を払いましょう。
確実なプロジェクト計画から着手すること。
プロセス全体に影響を与える前に、潜在的な問題や落とし穴を見つけることができます。
良いチームをつくること。
良いチームであれば、概観を把握しながら、詳細に立ち入るタイミングも認識できるはずです。
積極的な参加者を求めること。
仕事をこなしながら、常にコミュニケーションを取るメンバーによるチームが必要です。
経営幹部の支援を受けられる体制をつくっておくこと。
厳しい決断を下す場合に備え、経営幹部を味方に付けておくべきです。
期待値コントロールをすること。
変容のプロセスはゆっくりと進むものであり、事態が悪くなることもあります。それを自身や周囲のメンバーも認識しておきましょう。
早い段階で自分のビジョンを伝えること。
自分が何を望んでいるのか、どのようなことを成功と定義しているのかを明確にしましょう。

確かに、GDPRは多くの変化を要求します。また、その変化の一部は非常に複雑なものになるかもしれません。しかし、ここで何度も言っているように、必要な作業内容、そしてそれを実行する計画を明確に理解していれば、変化を起こすための決心が固まります。

IBMがプライバシーとセキュリティーのソリューションを使用し、GDPRの準備を支援する方法については、こちらをご覧ください。また、ibm.com/gdprでは、より広い視野で詳細を確認できます。

この記事は、下記ブログの抄訳です
Change Doesn’t Happen All at Once: Navigating the GDPR Transformation Process

注: お客様は、EUの一般データ保護規則を含めたさまざまな法律や規則の遵守を自ら保証する責任があります。お客様のビジネスに影響する可能性がある関連法規や規則の特定および解釈や、それらの法規や規則を遵守するために行う必要があるアクションについて、資格のある弁護士の助言を得る責任はお客様のみにあります。
ここに記載された製品、サービス、およびその他の機能は、すべてのお客様の状況に適しているわけではなく、使用が制限される可能性があります。IBMは、法律、会計、または監査の助言を提供したり、お客様がいかなる法律または規則にも適合していることをそのサービスまたは製品が確認することを表明または保証するものではありません。