GDPR元年迫る--これからはじめる準備と対応の6カ条 - (page 3)

梅澤泉 (EYアドバイザリー・アンド・コンサルティング)

2018-01-22 06:00

その6:セキュリティへの対応

 日本企業は、国内の個人情報保護法やガイドラインが定める安全管理水準に沿って個人データの取り扱いを行っていれば、GDPRが求める適切な技術的、組織的な安全管理対策(GDPR第32条)に関して特段の追加措置は意識する必要はないと考えられる。この場合、日本企業は個人データの処理や保管に際し、セキュリティの観点から抜けや漏れがないかを再確認し、必要に応じて追加対応を検討すれば良い。

 注意すべき点としては、個人データの委託先(processor)の有無と、海外拠点において独自に開発・運用している情報システムの存在である。いずれも日本の本社からは目の届きにくいブラックボックスとなりがちで、これらの管理がセキュリティの観点からおろそかになっていないか、個人データの侵害につながるようなリスクが潜んでいないかを点検や監査、監督を通じて確かめておくことがポイントになってくる。

【安全管理状況の確認ポイント】
  • 日本の個人情報保護法・ガイドラインに沿って安全管理状況を再確認する✔
  • 委託先、海外拠点の情報システムなど盲点となりやすいリスクポイントのセキュリティチェックを実施する✔

その他の留意点

 以上述べてきた6カ条のポイントに加え、昨今のトピックとなっている日本の「十分性認定」と、GDPR対応に不可欠な組織内のコミュニケーションの2点について補足しておきたい。

 EU域内からEU域外へのデータの移転規制に関しては、いわゆる「十分性認定」(EUがデータ移転先の国・地域のデータ保護施策を評価・承認すること)を受ける(GDPR第45条)ことにより、解消される問題であると認識されがちだ。しかし、仮に日本がEUから十分性認定を受けたとしても、東南アジアや南米といった日本以外の拠点との間で個人データの域外移転が発生しているようなケースが存在する場合、これらの国が十分性認定を受けない限り、データ移転規制の問題は残されたままである点に注意が必要である。

 もう1点、上記で解説してきた取り組みを実施するには、社内における関係部署の協力が不可欠である。特にIT部門は、以下の点からキーとなる局面が想定され、積極的に連携を図りながら効率よくGDPR対応を進めていくべきであることを念頭に入れておきたい。

  • IT部門は情報システムの観点から、ビジネス横断的に個人データの流れを把握している場合が多い
  • IT部門はセキュリティに関する規程を所管している場合が多いため、個人データに係る社内規程の整備の際には関与が必要となってくる
  • 情報システムに影響のある点(ウェブサイトを通じた同意取得、個人データの保管期間など)やそれに伴う仕様変更の要否の検討に当たっては、IT部門との対話が欠かせない

おわりに

 以上6つの優先対応事項を中心に解説を行ってきた。残り数カ月で的確に対応するには、できるだけ手戻りが発生しないように入念に計画を立案し、限られた期間で効果的な対応が実践できるように取り組むことが重要である。

梅澤 泉(うめざわ いずみ)
EYアドバイザリー・アンド・コンサルティング
EY Japan Data Protection Leader パートナー
金融機関、製造業、小売業、学校法人などの会計監査業務を経て、クラウドサービス、データセンターサービスを中心としたさまざまな事業会社におけるIT統制の保証業務や情報セキュリティ監査、システム監査に従事。2015年にはEY Japan マイナンバー制度対応支援オフィスを立ち上げ、当オフィスのリーダーとして企業および自治体におけるマイナンバー制度の開始に向けた準備対応を幅広く支援するとともに、関連するセミナー講演や執筆を多数手掛けてきた。現在はEYにおけるジャパン・データプロテクション・リーダーとして、EYのグローバルネットワークを通じて各国のプライバシー法規制や個人情報保護管理に対する企業支援を展開している。
公認会計士、公認不正検査士(CFE)、公認情報システム監査人(CISA)、システム監査技術者、公認情報セキュリティ主任監査人(CAIS-Lead Auditor)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]