欧州連合(EU)の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)は、EUにおける新しい個人情報保護の枠組みであり、個人データ(Personal Data)の処理と移転に関するルールを定めたものである。本稿では、5月の施行まで残すところわずかとなったGDPRへの対応に向けて、日本企業が限られた期間で優先的に取り組むべき課題(6カ条)について解説したい。
- その1:データマッピングにより個人データの現状を理解する
- その2:プライバシーポリシーを改訂、策定する
- その3:同意取得、同意撤回の仕組みを用意する
- その4:プライバシー責任者を決める
- その5:個人データ侵害時の報告手順を定める
- その6:個人データの安全管理体制について確認する
その1:データマッピングによる現状分析
GDPR対応の必要性やその度合いについては、企業によってまちまちだが、いずれにしても第一に検討すべきなのは、データマッピングによる現状分析である。データマッピングは、どこに、どのような個人データが存在するのか(ストック情報)を洗い出すとともに、これらの個人データがどこから、どこに流通しているのか(フロー情報)を把握する上で重要な作業である。
そのためには、個人データを取り扱うことが想定される各部署や拠点に対して、データマッピング用の調査表への記入を依頼し、当該記入結果を収集・分析することで実態を把握することが必要となる。
- どこに、どのような個人データが存在するか✔
- 個人データはどこから、どこに流通しているか✔
- 個人データへのアクセス権限は誰に付与されているか✔
(誰が、どこから閲覧できるか)