対策を検討する上ではガイドラインも参考になる
GDPR施行まで半年を残す現在、多くのユーザー企業各社は、ステップ1の現状調査を終えて、ステップ2、すなわち具体的な対策の検討に入った段階にあるという。2018年2~3月には、準備の最終ステップとして、固まった対策をグループ会社へと展開し始める。
具体的な対策の例に、個人情報を取得する際の、本人の同意の取り方の改善がある。ウェブ画面で同意を取るのか、紙で同意を取るのかなど、ユーザー企業の業務に合ったやり方を検討する。なお、本人の同意を取ることは必ずしも必須ではなく、個人情報を取得するやり方の1つだ。
デロイト トーマツ リスクサービスでシニアマネジャーを務める、公認情報システム監査人(CISA)で情報セキュリティスペシャリストの大場敏行氏
大場氏によると、具体的な対策を練る上で、EUが提供しているGDPR対策の一連のガイドライン文書が参考になる。さらに、EU加盟国の監督機関が出しているガイドライン文書もあるという。「条文だけだと要件の記載には一定の抽象性がある。このため、対策の検討にあたっては、ガイドライン文書が役に立つ」(大場氏)
ただし、ガイドライン文書であっても、まだ対策が定まらない場合があると大場氏は指摘する。「ガイドライン文書を見ただけでは、具体的な対策について答えが見つからないこともある」(大場氏)。こうした背景を受けてデロイト トーマツ リスクサービスでは、他社の事例情報を共有しながら対策のアドバイスを実施しているという。
ガイドライン文書は、予定されている全ての文書がそろっている訳ではないため、今後新たに明らかになってくる情報もある。また、リファレンスとなるユーザー事例も、時間が経てば蓄積されてくる。ノウハウが蓄積されていくことにより、現在よりも容易に対策を取れるようになっていく。
対策時にシステムやプロセスの変更を伴うこともある
GDPRへの対策を検討し進める上で、既存の情報システムや業務プロセスの変更を伴う場合もある。
ウェブシステムにおける個人情報の取得については、画面に個人情報の利用目的や提供先等を記し、これに同意してもらうことが1つの方法になる。ここで、GDPRの要件に見合わない形で同意を取っている場合は、これを改める。
GDPRでは、同意は自由な意思によって行われなければならない。同意することを示すチェックボックスに最初からチェックが入っているようなウェブサイトでは、自らの意志でチェックボックスをチェックした訳ではないため、同意は無効になる。
GDPRではまた、データの削除に関する要件もあり、必要がない個人データは削除することになる。GDPRに限らず、昨今の個人情報関連の規制では、要らないデータの削除を求める傾向にある。
要らないデータを削除するための対策の1つは、データの保持期限を決めて、期限を迎えたらアラートを挙げてシステム管理者に通知するというものだ。また、期限を迎えたデータを自動で削除するという対策も考えられる。
GDPRの対策をすれば他の規制への対応も容易
現在、個人情報保護について、さまざまな国で規制が強まっている。理由は大きく2つある。1つは、国を越えたグローバルのビジネスが進展していること。もう1つは、ITの普及によって、多種多様で大量のデータが国を越えて移動していることだ。
氏名・住所・生年月日・性別の基本4情報だけでなく、購買履歴や移動履歴なども個人情報として見られるようになってきた。「各種のセンサによって、これまで取得できていなかったさまざまな種類の個人情報が急に増えてきた」(大場氏)
こうした背景の下、各国ともに自国民のプライバシーを保護するという意味合いから、個人情報保護の規制を強めている。こうした中でも、最も厳しいルールの1つがGDPRだと大場氏は指摘する。「GDPRに対応しておけば、他の国の規制に対応するハードルは高くなくなると考えられる」(大場氏)