一般データ保護規則(GDPR)の導入方法
2024年2月23日
読了時間:10

欧州連合の画期的なデータ・プライバシー法である一般データ保護規則(GDPR)は、2018年に施行されました。それから長い時間が経っているにもかかわらず、多くの組織は依然としてコンプライアンス要件を満たすのに苦労しており、EUのデータ保護当局により罰金を科されています。

世界最大の企業でさえ、GDPRのコンプライアンスという重圧から逃れることはできません。アイルランドの規制当局は2023年、Meta社に12億ユーロの罰金を科しました(ibm.com外部へのリンク)。また、イタリア政府は、違反の疑いで OpenAI社を調査(ibm.com外部へのリンク)し、ChatGPTの提供を一時的に禁止する措置まで取っています。

法律が複雑なだけでなく、裁量に委ねられる部分が多いため、多くの企業にとってGDPR要件に従うのは困難です。GDPRは、欧州内外の組織がEU居住者の個人データをどのように取り扱うかについて、一連の規則を定めていますが、これらのルールをどのように施行するかについては、企業にある程度の裁量を与えています。

組織がGDPRに完全に準拠するための詳細計画は、組織が収集するデータとそのデータで何を行うかによって異なりますが、GDPRに従うすべての企業が実行できる基本的な手順がいくつかあります。

  • 個人データのインベントリー
  • 特別なカテゴリーのデータを識別して保護する
  • データ処理業務の監査
  • ユーザー同意フォームを更新する
  • 記録管理システムを構築する
  • コンプライアンス・リーダーを任命する
  • データ・プライバシー・ポリシーの草案を作成する
  • サード・パーティー・パートナーのコンプライアンスを確保する
  • データ保護影響評価のプロセスを構築する
  • データ侵害対応計画を導入する
  • データ主体による権利行使をしやすくする
  • 情報セキュリティー対策を導入する
GDPRは自社に適用されるか。

GDPRは、組織の所在地に関係なく、欧州居住者の個人データを処理するすべての組織に適用されます。デジタル経済の相互接続性と国際性を考えると、今日の多くの、おそらくほとんどの企業がこれに該当します。GDPRの適用範囲外の組織でも、データ保護を強化するためにその要件を採用すると良いでしょう。

具体的には、GDPRは欧州経済領域(EEA)に拠点を置くすべてのデータ管理者とデータ処理者に適用されます。EEAには、EU加盟国27カ国すべてにアイスランド、リヒテンシュタイン、ノルウェーが含まれます。

データ管理者は、個人データを収集し、その使用方法を決定するあらゆる組織、団体または個人を指します。注文の更新情報を送信するために顧客のEメール・アドレスを保存するオンライン小売業者を考えてみましょう。

データ処理者とは、データ処理活動を実行する組織またはグループです。GDPRでは、「処理」を、データの保存、分析、変更など、データに対して実行されるあらゆるアクションとして広く定義しています。処理者には、企業が主要な顧客層を把握できるようユーザー・データを分析するマーケティング会社など、管理者に代わって個人データを処理する第三者が含まれます。

GDPRは、以下の条件の少なくとも1つを満たすEEA外に所在する管理者および処理者にも適用されます。

  • 企業が、金銭のやり取りがない場合でも、EEA居住者に商品やサービスを定期的に提供している。
  • 企業が、トラッキング・クッキーを使用するなどして、EEA居住者の活動を定期的に監視している。
  • 企業が、EEA内の管理者に代わって個人データを処理している。
  • 企業には、EEA内に従業員がいる。

GDPRの適用範囲については、注目すべき点がまだいくつかあります。まず、GDPRでは、「データ主体」とも呼ばれる自然人の個人データのみが対象となります。自然人とは、生きている人間のことです。GDPRは、企業などの法人や死者のデータは保護対象外となります。

第二に、GDPRの保護を受けるにはEU市民である必要はありませんが、EEAの正式な居住者である必要があります。

最後に、GDPRは、商用、学術用、政府提出用、その他、事実上あらゆる理由による個人データの処理に適用されます。企業、病院、学校、公的機関はすべてGDPRの対象となります。GDPRから免除されるデータ処理活動は、国家安全保障や法執行活動、ならびにデータの純粋に個人的な使用のみです。

GDPR導入手順

あらゆる状況に当てはまる万能のGDPRコンプライアンス計画というものは存在しませんが、組織がGDPRに適切に対応できるよう使用できる基本的なプラクティスがいくつかあります。

主要なGDPR要件のリストについては、GDPRコンプライアンス・チェックリストをご覧ください。

個人データのインベントリー

GDPRではデータ・インベントリーを明示的に要求していませんが、多くの組織は次の2つの理由からここから始めています。まず、企業がどのようなデータを保有し、それがどのように処理されているかを知ることで、組織はコンプライアンスの負担をよりよく理解できるようになります。例えば、ユーザーの健康データを収集する企業では、Eメール・アドレスのみを収集する企業よりも強力な保護が必要です。

2つ目の理由は、包括的なインベントリーがあることにより、データの共有、更新、削除に関するユーザー要求に応じやすくなるためです。

データ・インベントリーには次のような詳細を記録できます。

  • 収集されるデータの種類(ユーザー名、閲覧データ)
  • データ母集団(顧客、従業員、学生)
  • データの収集方法(イベント登録、ランディングページ)
  • データが保存される場所(オンプレミスサーバー、クラウド・サービス)
  • データ収集の目的(マーケティング・キャンペーン、行動分析)
  • データの処理方法(自動スコアリング、集計)
  • データにアクセスできるユーザー(従業員、ベンダー)
  • 既存の安全対策(暗号化多要素認証

組織のネットワーク内のさまざまなワークフロー、データベース、エンドポイント、さらにはシャドーIT資産に散在する個人データを追跡することは困難となることがあります。データ・インベントリーをより管理しやすくするために、組織はデータを自動的に検出して分類するデータ保護ソリューションの使用を検討すると良いでしょう。

IBM® Guardium Data Protectionが、AWS、DBaaS、オンプレミスのメインフレームなどの主要なリポジトリー全体で機密データを自動的に検出、分類、保護する方法についてご説明します。

特別なカテゴリーのデータを識別して保護する

データをインベントリー化する場合、組織は特別な保護を必要とする特に機密性の高いデータをメモしておく必要があります。GDPRでは、特に特別なカテゴリーに属するデータ、犯罪歴データ、および子どもに関するデータという3種類のデータに対して追加の予防措置が義務付けられています。

  • 特別なカテゴリーに属するデータには、生体認証、健康記録、人種、民族、その他の非常に個人的な情報が含まれます。組織は通常、この種のデータを処理するためにユーザーの明示的な同意を必要とします。
  • 犯罪歴データは公的機関によってのみ管理され、その指示に従って処理されます。
  • 子どもに関するデータは保護者の同意なしには処理できないため、組織はデータ主体の年齢と保護者の身元を確認するためのメカニズムを必要とします。EEAの各国は、GDPRに基づいて独自の「子ども」の定義を設定しています。カットオフ年齢は13歳未満から16歳未満までです。企業はこれらのさまざまな定義に合わせて対応するための準備をする必要があります。

データ処理業務の監査

データ・インベントリーを作成中に、組織はデータが受けるすべての処理操作を記録します。次に、組織はこれらの操作がGDPR処理ルールに準拠していることを確認する必要があります。GDPRの最も重要な原則には次のようなものがあります。

  • すべての処理に対する確立された法的根拠:データ処理は、組織がその処理に対して承認された法的根拠を持っている場合にのみ許可されます。一般的な法的根拠には、ユーザーからの同意、ユーザーとの契約を履行するためのデータ処理、公共利益のためのデータ処理などがあります。組織は、処理を開始する前に、すべての処理操作の法的根拠を文書化する必要があります。

承認された法的根拠の網羅的なリストについては、GDPRコンプライアンス・ページをご覧ください。

  • 目的の制限:データは、明確に定義された目的のために収集および使用する必要があります。
  • 必要最低限のデータ収集:組織は、指定された目的に必要な最小限のデータのみを収集する必要があります。
  • 正確性:組織は、収集したデータが正確かつ最新であることを確認する必要があります。
  • 保存制限:組織は、データの目的が達成されたらすぐに、データを安全に廃棄する必要があります。

GDPR処理原則の網羅的なリストについては、GDPRコンプライアンス・チェックリストをご覧ください。

ユーザー同意フォームを更新する

ユーザーの同意は、処理の一般的な法的根拠です。ただし、GDPRでは、同意は十分な情報に基づいて、肯定的かつ自由意思のもとで行われた場合にのみ有効となります。組織はこれらの要件を満たすために同意フォームを更新する必要がある場合があります。

  • 十分な情報に基づいた同意を得るために、組織はデータ収集の時点で、何を収集し、そのデータをどのように使用するのかを明確に説明する必要があります。
  • 同意が肯定的であることを保証するために、組織はオプトイン方式を採用する必要があります。オプトイン方式では、ユーザーが積極的にボックスにチェックを入れたり、同意を示す声明に署名したりする必要があります。複数の当事者の同意を1つにまとめて取得することもできません。ユーザーは各処理活動に個別に同意する必要があります。
  • 同意が自由意思のもとで行われることを保証するために、組織はサービスに本当に不可欠なデータ処理活動に対してのみ同意を要求することができます。言い換えれば、企業はユーザーにTシャツを買うために政治的意見を明らかにするよう強制することはできません。また、ユーザーはいつでも同意を取り消すことができなければなりません。

記録管理システムを作成する

従業員数が250人を超える組織、および定期的にデータを処理するか高リスクのデータを扱うあらゆる規模の企業は、処理活動の電子記録を文書で保管する必要があります。

一方、すべての組織がそのような記録を保持すると良いでしょう。これらの記録はプライバシーとセキュリティーの取り組みを管理するのに役立つだけでなく、監査や違反が発生した場合にコンプライアンスを証明することもできます。企業は、準拠のために誠意を持って努力したことを証明できれば、罰則を軽減または回避することができます。

GDPRではデータ管理者がパートナーやベンダーのコンプライアンスに責任を負うため、データ管理者は特に厳重な記録を保持することが必要になる場合があります。

GDPRコンプライアンス・リーダーを任命する

すべての公的機関および特別なカテゴリーに属するデータを定期的に処理したり、対象を大規模に監視したりする組織は、データ保護責任者(DPO)を任命する必要があります。DPOは、GDPRコンプライアンスを担当する独立した執行役員です。一般的な責任には、リスク評価の監督、データ保護の原則に関する従業員のトレーニング、政府当局との連携などがあります。

DPOを任命する必要があるのは一部の組織のみですが、すべての組織が任命を検討することをお勧めします。GDPRコンプライアンスの責任者を任命すると、対応を効率化できます。

DPOは、企業の従業員、または契約に基づいてサービスを提供する外部コンサルタントである場合があり、最高レベルの経営陣に直接報告する必要があります。会社は、DPOが職務を遂行したことに対して報復することはできません。

EEA外にある組織がEEA居住者のデータを定期的に処理したり、機密性の高いデータを取り扱ったりする場合は、EEA内に代表者を任命する必要があります。EEA代表者の主な任務は、調査中に企業に代わってデータ保護当局と連携することです。代表者は、従業員、関連会社、または委託されたサービス企業である場合があります。

DPOとEEA代表者は役割も責任も異なります。特に、代表者は組織の指示に従って行動しますが、DPOは独立した役員でなければなりません。組織は、1人の担当者にDPOとEEAを兼任させることはできません(ibm.com外部へのリンク)。

組織が複数のEEA加盟国で事業を展開している場合は、管轄の監督機関を特定する必要があります。主たる監督機関は、ヨーロッパ全域でその企業のGDPRコンプライアンスを監督する主要なデータ保護機関(DPA)です。

通常、管轄の監督機関は、組織の本社がある、または中核的な処理活動を行っている加盟国のDPAになります。

データ・プライバシー・ポリシーの草案を作成する

GDPRは、データの使用方法について人々に情報を提供し続けることを組織に義務付けています。企業は、収集する情報、保持および削除ポリシー、ユーザーの権利、その他の関連する詳細など、処理業務を明確に説明するプライバシー・ポリシーを作成することで、この要件を満たすことができます。

プライバシー・ポリシーでは、誰でも理解できるわかりやすい言葉を使用する必要があります。重要な情報を難解な専門用語でわかりにくくした場合は、GDPR違反とみなされる可能性があります。組織は、データ収集時点でプライバシー通知を共有することで、ユーザーがポリシーを確認できるようにすることができます。また、プライバシー・ポリシーを自社のWebサイト上の見つけやすいページに掲載することもできます。

サード・パーティー・パートナーのコンプライアンスを確保する

管理者は、収集した個人データ(処理者、ベンダー、その他の第三者が個人データをどのように使用するかを含む)に対する最終的な責任を負います。パートナーが法律に準拠していない場合、管理者は罰せられる可能性があります。

また、組織は、データにアクセスできる第三者との契約を見直す必要があります。これらの契約では、GDPRに関するすべての当事者の権利と責任を法的拘束力のある形で明確に規定する必要があります。

組織がEEA外の処理者と連携する場合でも、それらの処理者はGDPRの要件を満たす必要があります。実際、EEA外へのデータ転送には厳格な基準が適用されます。EEA内の管理者は、以下のいずれかの基準を満たす場合にのみ、EEA外の処理者とデータを共有できます。

  • 欧州委員会が、同国で適用されているプライバシー法が適切であると判断した場合
  • 欧州委員会が、処理業者が十分なデータ保護を備えていると判断した場合
  • 管理者が、データが保護されるように措置を講じている場合

すべてのパートナーシップとデータ転送がGDPRに確実に準拠するようにする1つの方法は、標準契約条項を使用することです。これらの事前に作成された条項は欧州委員会によって事前に承認されており、あらゆる組織が自由に使用できます。これらの条項を契約に挿入すると、各当事者がこれらを遵守することを条件に、契約はGDPRに準拠しているとみなされます。標準契約条項の詳細については、欧州委員会のWebサイト(ibm.com外部へのリンク)を参照してください。

データ保護影響評価のプロセスを構築する

GDPRでは、組織がリスクの高い処理を行う前にデータ保護影響評価(DPIA)を実施することが義務付けられています。GDPRでは、新しいテクノロジーの使用、機密データの大規模な処理など、いくつかの例が示されていますが、すべての高リスク活動を網羅的に列挙しているわけではありません。

組織は、確実にGDPRに準拠できるよう、新しい処理操作の前にDPIAを実施することを検討できます。リスクがDPIAを正当化するほど高いかどうかを判断するために、簡略化された事前スクリーニングを使用する場合もあります。

DPIAでは、少なくとも、処理内容とその目的を説明し、処理の必要性とデータ主体に対するリスクを評価し、軽減策を特定する必要があります。リスクを軽減した後もリスクが高いままである場合、組織は先に進む前にデータ保護機関に相談しなければなりません。

IBM® Guardium Insightsが、GDPR、CCPA、およびその他の主要な規制向けに事前構成されたワークフローを使用して、コンプライアンス・レポートの作成を効率化する方法についてご説明します。

データ侵害対応計画を導入する

組織は、ほとんどの個人データ侵害を72時間以内に監督機関に報告する必要があります。さらに、侵害が個人情報の盗難などのデータ主体にリスクをもたらす場合、企業はデータ主体にも通知しなければなりません。実行不可能でない限り、通知は被害者に直接送信されることが求められます。その場合は、データ侵害が起きたことを公示するだけで十分です。

組織には、進行中の侵害を迅速に特定し、脅威を根絶し、当局に通知する効果的なインシデント対応計画が必要です。インシデント対応計画には、システムを復旧し、情報セキュリティーを復元するためのツールと戦術を含めなければなりません。組織が早くコントロールを取り戻すほど、深刻な規制措置を受ける可能性は低くなります。

組織はこの機会を利用して、データ・セキュリティー対策を強化することもできます。侵害がユーザーに危害を及ぼす可能性が低い場合、例えば、盗まれたデータがハッカーが使用できないほど厳重に暗号化されている場合、企業はデータ主体に通知する必要はありません。これにより、データ侵害により評判や収益にマイナスの影響が及ぶのを回避できます。

データ主体による権利行使をしやすくする

GDPRは、組織によるデータの使用方法に関する権利をデータ主体に付与しています。例えば、訂正権により、ユーザーは不正確なデータや古くなったデータを訂正できます。また、消去権により、ユーザーは自分のデータを削除するよう求めることができます。

一般的に、組織はデータ主体の要求に30日以内に応じなければなりません。リクエストをより管理しやすくするために、組織は、対象者がデータにアクセスし、変更を加え、その使用を制限できるセルフサービス・ポータルを構築できます。ポータルには、対象者の身元を確認する方法が含まれている必要があります。GDPRでは、リクエスト者が本人であるかどうかを確認する責任が組織に課せられます。

自動意思決定とプロファイリング

データ主体は自動処理に関して特別な権利を有します。具体的には、組織はユーザーの同意なしに自動化を使用して重要な決定を下すことはできません。ユーザーには、自動化された決定に異議を唱え、人間による決定の確認を要求する権利があります。

組織はセルフサービス・ポータルを使用して、データ主体に自動化された決定に異議を申し立てる手段を提供できます。企業は必要に応じて人間のレビュー担当者を任命する準備も整えておかなければなりません。

データ・ーポータビリティー

データ主体は自分のデータを好きな場所に転送する権利を有し、組織はそれらの転送を容易にする必要があります。

また、ユーザーが簡単に転送をリクエストできるようにするだけでなく、データを共有可能な形式で保存することも求められます。独自の形式を使用すると、転送が困難になり、ユーザーの権利が妨げられる可能性があります。

データ主体の権利の網羅的なリストについては、GDPRコンプライアンス・ページをご覧ください

情報セキュリティー対策を導入する

GDPRでは、組織がシステムの脆弱性を解消し、不正アクセスや違法使用を防ぐために、合理的なデータ保護対策を講じることが義務付けられています。GDPRでは具体的な対策は義務付けられていませんが、組織には技術的管理と組織的管理の両方が必要であると規定されています。

技術的なセキュリティー対策には、ソフトウェアやハードウェア、およびSIEMデータ損失防止ソリューション などのその他のテクノロジー・ツールが含まれます。GDPRでは暗号化と仮名化が強く推奨されているため、組織は特にこれらの対策を導入することが必要になる場合があります。

組織的な対策には、GDPRの規則に関する従業員のトレーニングや正式なデータ・ガバナンス・ポリシーの導入などが含まれます。

また、GDPRは、企業に対してデータ保護を設計およびデフォルトでの原則として採用するよう指示しています。「設計上」とは、企業が最初からデータ・プライバシーをシステムとプロセスに組み込む必要があることを意味します。「デフォルト」とは、あらゆるシステムのデフォルト設定が、ユーザーのプライバシーを最大限に維持する設定であるべきであることを意味します。

IBMのデータ・セキュリティーおよび保護ソリューションがハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化する方法についてご説明します。

GDPRコンプライアンスが重要な理由

欧州経済領域(EEA)で事業を営む組織はすべて、GPDRに準拠する必要があります。準拠しない場合は深刻な結果を招く可能性があります。最も重大な違反の場合、最高2,000万ユーロまたは前年の組織の全世界収益の4%のいずれか高い方の罰金が科せられる可能性があります。

しかし、データ・コンプライアンスは、単にペナルティーが科されるのを回避することだけが目的ではありません。メリットもあります。GDPRに準拠することで組織が世界最大の市場の一つにアクセスできるようになるだけでなく、GDPR原則によってデータ・セキュリティー対策を大幅に強化できます。組織は、より多くのデータ侵害を未然に防ぐことができ、1件あたりの平均コスト445万ドルにも及ぶ侵害を回避できます。

GDPRへの準拠は、企業の評判を高め、消費者との信頼関係を築くことにもつながります。一般的に、人々は顧客データを確かな形で保護する組織と取引することを好みます(ibm.com外部へのリンク)。

GDPRは、カリフォルニア州消費者プライバシー法やインドのデジタル個人データ保護法など、他の地域の同様のデータ保護法に影響を与えました。GDPRはこれらの法律の中で最も厳しいものの1つであると考えられることが多いため、組織はGDPRに準拠することで他の規制にも準拠できるようになります。

最後に、企業がGDPRに違反した場合、一定レベルのコンプライアンスを実証することで、影響を和らげることができます。規制機関は、罰則を決定する際に、既存のサイバーセキュリティー管理や監督当局との協力などの要素を考慮します。

 
著者
Matt Kosinski Writer