GDPRを理解するために：自社の「現在地」を知る

記事をシェアする:

GDPR施行後3ヶ月：セキュリティー対策アップデート・セミナーはこちら

ある古い友人が、目標を達成するための貴重なアドバイスをくれたことがあります。彼は「自分がどこにいるのかわからなければ、目的地に向かうこともできない」と言いました。年月が経ったいま、「GDPRの準備」について考えるときほど、彼のアドバイスが実に的を射ていると感じることはありません。

GDPRの準備状況に対する「現在地」を知る

以前のブログ記事で説明したように、GDPRは非常に複雑な規制になるでしょう。これこそ、IBMセキュリティーの「GDPRフレームワーク」が生まれた理由の1つです。IBMセキュリティーのGDPRフレームワークを活用すれば、プライバシーとセキュリティーを担保しながら、GDPRの準備を十分に行うことができます。下記も、以前のブログ記事のおさらいになりますが、GDPRフレームワークは次の5段階で構成されています。

• 評価：現在の状況を評価する。
• 設計：手法をデザインする。
• 構築：現在の習慣を変える。
• 運用：プログラムを運営する。
• 管理・監査：必要なGDPR要件を順守する。

そして、冒頭で紹介した私の友人のアドバイスに従い、皆さんがGDPRの準備体制を整えたいのならば、GPDRの準備に関して「自社の現在地」を最初に知らなければなりません。そこから、GDPRフレームワークの第1段階である現状を評価する段階に入ります。そうすることで、GDPRに関する社内外のデータがどのように集められ、使われ、保存され、誰がそのデータにアクセスできるのかを特定し、把握することができます。

また、先述したシンディがブログ記事で説明していたことですが、GDPRフレームワークの5段階は、プライバシーとセキュリティーの問題をそれぞれカバーしています。では、まず評価段階（第1段階）の「プライバシーの要件」を見てみましょう。

• 既存のプライバシー方針やステートメントについて、GDPRで求められる項目と比較する方法を明文化する。
• 個人データの同意、使用、アクセス、修正、削除、および転送に対するデータ主体の権利を評価する。
• 個人データ資産と影響を受けるシステムを検出し、分類する。
• 潜在的なアクセスリスクを特定する。

そして、以下が「セキュリティーの要件」です。

• セキュリティー方針の現状を評価し、目標とのギャップを明らかにし、成熟度を基準にそって判断し、順守のためのロード・マップを設定する。
• 潜在的な脆弱性を識別し、セキュリティーとプライバシーを計画的に補完する。
• セキュリティー・コントロールを計画するため、個人データ資産および影響を受けるシステムを発見し、分類する。

GDPR要件に対する自社の成熟度を評価する

潜在的なプライバシーとセキュリティーに関する課題がはっきりと見えてきたら、求められる対策に応じて「組織の成熟度」を判断することで、どのように課題を解決していくべきかが見えてくるでしょう。それには、まずIBMによる「GDPR Readiness Assessment」から始めるとよいかもしれません。組織の内外にかかわらず、個人情報がどのように集められ、使われているかを明らかにしたり、また、情報がどこにあり、どのように転送されるかを追跡するのに役立つでしょう。さらに、GDPR Readiness Assessmentでは、GDPRの要件について下記の判定基準とともにフィードバックを提供できるのも、大きなポイントです。

• レベル1：特定の要件にはまだ対応していない。
• レベル2：要件に対応するために最低限の手段を講じている。
• レベル3：要件に対応するためのプロセスを特定している。
• レベル4：要件に対応するためのプロセスを一貫した方法で測定し、制御している。
• レベル5：要件に対応するためのプロセスを継続的に評価し、改善している。

こうしたレベルを上げるために、どうすればよいのでしょう。たとえば、GDPRの対象データを、自社とベンダーが共有していることしか現在は把握できていないとします。一旦共有されたデータが、最終的にどのように処理されるかについてわからないのであれば、（データトラッキングを使用するなどして）ベンダー管理プロセスを強化すれば、あるべき方向に進むことができます。

さらに、そうしたデータの共有を担当するチームを編成するのも、有効な手段の1つでしょう。そのチームに、監査を実施するための方法論を策定してもらうよう依頼し、報告にあたって監査が正しく機能していることが第三者にもわかるような指標を組み立て、開発してもらいます。GDPRの場合、こうしたチームは、管理者が処理状況を追跡するために必要な技術的および組織的対策（TOM）を構築する際に役立てることもできます（GDPRフレームワークの第4段階で必須です）。以上は、皆さまのGDPR準備体制を整えるにあたり、IBMが提供できるソリューションのほんの一例にすぎません。

“GDPRへの道のり”をたどる

GDPRの準備完了を目指し、自社の置かれた状況をより深く理解できるようになれば、次にどのような対策を講じる必要があるのかを容易に特定できます。そして、IBMではその支援が可能です。

すでに述べたように、IBMによる「GDPR Readiness Assessment」では、組織の内部であっても外部であっても、個人情報がどのように集められ、使われているかを明らかにしたり、また、情報がどこにあり、どのように転送されるかを追跡することができます。

さらに、IBM Security Guardium GDPR Acceleratorは、脆弱性の識別と対処、GDPR関連の個人データの検出と分類、データアクセスのパターンとリスクの特定に役立ちます。また、「Ten Essential Practices Assessment」は、セキュリティー機能とその準備状況を評価し、業界のベスト・プラクティスにもとづいたセキュリティー・ガバナンスとプロセス集約と策定に役立ちます。

皆さんは、“GDPRへの道のり”のどこに自分がいるかについて、学ばなければいけないことがたくさんあるとお考えでしょう。それは、正しい認識ですし、時間をかけて自分たちの「現在地」を完全に理解しようと努めれば、「目的地」にたどりつく可能性も高まります。

IBMが提供するプライバシーとセキュリティーのソリューションを使用し、より広い視野でGDPRの準備をサポートする方法について、ぜひご覧ください。

Webセミナー：GET GDPR-READY — BECAUSE DATA PROTECTION IS ABOUT TO GET PERSONAL（英語）

注：お客様は、GDPRを含めたさまざまな法律や規則を遵守する責任があります。弊社は、法律に関するアドバイスを提供したり、お客様がいかなる法律または規則を遵守していることを、提供するサービスまたは製品により表明、保証するものではありません。コンプライアンス遵守に向けた道のりをサポートするIBM独自のGDPR準備体制のためのプロセス、GDPRフレームワークの機能の詳細については、こちらをご覧ください。

GDPRシリーズ

→ GDPRを理解するために：自社の「現在地」を知る
→ GDPR計画の策定：「what」ではなく「how」を考える時期がきた
→ 全てを一度に変える必要はない：GDPR対応プロセスについて