その2、3:データ主体への対応準備
GDPRは、個人データの提供元となるデータ主体(data subject)が有する個人の権利を保護することに主眼を置いた法律である。したがって企業は、データ主体に対しては下記の点を明確にして、適切に説明責任を果たすことが重要である。
- 個人データの取扱いに関する企業としての方針
- データ主体との個人データのやりとりに関する取り決め(ルール)
具体的には、GDPRに沿って現状のプライバシーポリシーの改訂を検討し、さらにはデータ主体から同意を得る方法、データ主体が同意を撤回するための仕組みを構築することによって、データ主体の権利を適切に保護できるよう準備を進めておく必要がある。
- プライバシーポリシーを策定/開示し、個人データの取り扱いに対する企業の姿勢を明確に示す✔
- 同意の取得および撤回の方法について、明確な仕組みを整備する✔
その4、5:監督機関への対応準備
次に監督機関(supervisory authority)、すなわち当局対応への準備である。企業が監督機関とのやりとりを円滑に遂行する上で、その連絡窓口や体制については早い段階で確立しておくことがポイントとなる。
そのためには、監督機関との連絡窓口となるべきプライバシー責任者をどのような人材から求め、誰を任命すべきかについて検討しなければならない。GDPR第37条において、一定の要件を満たす場合に「Data Protection Officer」(DPO:データ保護責任者)の任命が求められているが、DPOの選任が必須かどうかにかかわらず、個人データを適切に管理するためのプライバシー責任者を企業内に設置することが重要である。
GDPRでは個人データの侵害(漏えい事故)が発生した場合、72時間以内に監督機関へ通知しなければならない(GDPR第33条)。だが、仮にこのような事態が発生した場合、的確に対応できなかったことによる違反時のインパクト(制裁金)などを考えると、こうしたセキュリティ事故の発覚から速やかに状況を把握し、監督機関に通知するための報告手順については、前もって確実に整備しておく必要がある。
- 報告・連絡の窓口となるプライバシー責任者(DPOなど)を任命する✔
- 個人データ侵害時に備えて、監督機関への通知内容、報告ルートといった具体的な手順について定めておく✔