GDPR元年迫る--これからはじめる準備と対応の6カ条 - (page 2)

梅澤泉 (EYアドバイザリー・アンド・コンサルティング)

2018-01-22 06:00

その2、3:データ主体への対応準備

 GDPRは、個人データの提供元となるデータ主体(data subject)が有する個人の権利を保護することに主眼を置いた法律である。したがって企業は、データ主体に対しては下記の点を明確にして、適切に説明責任を果たすことが重要である。

  • 個人データの取扱いに関する企業としての方針
  • データ主体との個人データのやりとりに関する取り決め(ルール)

 具体的には、GDPRに沿って現状のプライバシーポリシーの改訂を検討し、さらにはデータ主体から同意を得る方法、データ主体が同意を撤回するための仕組みを構築することによって、データ主体の権利を適切に保護できるよう準備を進めておく必要がある。

【データ主体への対応準備のポイント】
  • プライバシーポリシーを策定/開示し、個人データの取り扱いに対する企業の姿勢を明確に示す✔
  • 同意の取得および撤回の方法について、明確な仕組みを整備する✔

その4、5:監督機関への対応準備

 次に監督機関(supervisory authority)、すなわち当局対応への準備である。企業が監督機関とのやりとりを円滑に遂行する上で、その連絡窓口や体制については早い段階で確立しておくことがポイントとなる。

 そのためには、監督機関との連絡窓口となるべきプライバシー責任者をどのような人材から求め、誰を任命すべきかについて検討しなければならない。GDPR第37条において、一定の要件を満たす場合に「Data Protection Officer」(DPO:データ保護責任者)の任命が求められているが、DPOの選任が必須かどうかにかかわらず、個人データを適切に管理するためのプライバシー責任者を企業内に設置することが重要である。

 GDPRでは個人データの侵害(漏えい事故)が発生した場合、72時間以内に監督機関へ通知しなければならない(GDPR第33条)。だが、仮にこのような事態が発生した場合、的確に対応できなかったことによる違反時のインパクト(制裁金)などを考えると、こうしたセキュリティ事故の発覚から速やかに状況を把握し、監督機関に通知するための報告手順については、前もって確実に整備しておく必要がある。

【監督機関への対応準備のポイント】
  • 報告・連絡の窓口となるプライバシー責任者(DPOなど)を任命する✔
  • 個人データ侵害時に備えて、監督機関への通知内容、報告ルートといった具体的な手順について定めておく✔

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]