対応を迫られるGDPR

現状調査、対策の検討、全社展開の3ステップで準備--対応を迫られるGDPR(5)

日川佳三

2017-12-18 07:30

 日本の改正個人情報保護法が2017年5月30日に施行された。原則すべての企業に個人情報保護法上の義務が課されることになった。これに続き、欧州のGDPR(一般データ保護規則)が2018年5月25日に施行されようとしている。残り約半年を残し、企業の対応も大詰めを迎えている。

 GDPRの施行に向けてどう準備すればよいのか。「企業がGDPRに対応するステップは3つある」と、デロイト トーマツ リスクサービスでシニアマネジャーを務める、公認情報システム監査人(CISA)で情報セキュリティスペシャリストの大場敏行氏は説明する。

 具体的には、以下の3ステップの流れになるという。

  1. 個人情報の取り扱いに関する現状調査
  2. 現状調査を基にした、具体的な対策の検討
  3. 対策の検討内容を全社(グループ企業の場合はグループ全体)に展開

まずはデータを棚卸ししてギャップを調査する

 現状調査の作業は、データマッピング(データの棚卸し)とギャップ調査の2つで構成する。

 最初に取り組むステップは、データの棚卸しだ。個人情報をどのように取り扱っているのかを調べる。個人情報が何件あり、誰が管理していて、誰に提供されているのか、などを調べる。「GDPRの規制の対象となるデータが会社のどこにあり、GDPRによってどのような影響を受けるのかがおおよそ分かる」(大場氏)

 データの棚卸しが済んだら、ギャップ調査を行う。GDPRが求める要求と、現在の個人情報の取り扱いにどれだけ差異があるかを調べる。「GDPRに対応できている箇所とこれから対応しなければいけない箇所を識別できる」(大場氏)

見つかった課題への対策を検討するチームを作る

 現状調査を終えたら、具体的な対策の検討に入る。現状調査で判明した課題をテーマごとに分類する。例えば、規程の見直しや情報システムの見直し、業務プロセスの見直し、などに分類する。

 大場氏は、それぞれの課題ごとに対策のための分科会を立ち上げることを推奨する。規程分科会、システム分科会、プロセス分科会などだ。それぞれに情報システム部員や業務部門などから専門要員を参加させることが大切だ。

全社への展開では現場ごとのカスタマイズも発生する

 最終段階として、本社で検討した対策内容を、グループ会社全体へと展開する。典型的な方法としては、グループ会社向けに説明会を開催するというものだ。その後は、個々の現場ごとにGDPRの要件に対応する方法を考える。

 本社の意向通りでは現場にフィットしない対策もあると大場氏は言う。「個々の現場で、細かい点を見直してカスタマイズする必要がある」(大場氏)。本社はカスタマイズのフォローも行う。対策の有効性など、現場から挙がる問いに回答するQ&Aサポートも実施する。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  2. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]