その6:セキュリティへの対応
日本企業は、国内の個人情報保護法やガイドラインが定める安全管理水準に沿って個人データの取り扱いを行っていれば、GDPRが求める適切な技術的、組織的な安全管理対策(GDPR第32条)に関して特段の追加措置は意識する必要はないと考えられる。この場合、日本企業は個人データの処理や保管に際し、セキュリティの観点から抜けや漏れがないかを再確認し、必要に応じて追加対応を検討すれば良い。
注意すべき点としては、個人データの委託先(processor)の有無と、海外拠点において独自に開発・運用している情報システムの存在である。いずれも日本の本社からは目の届きにくいブラックボックスとなりがちで、これらの管理がセキュリティの観点からおろそかになっていないか、個人データの侵害につながるようなリスクが潜んでいないかを点検や監査、監督を通じて確かめておくことがポイントになってくる。
- 日本の個人情報保護法・ガイドラインに沿って安全管理状況を再確認する✔
- 委託先、海外拠点の情報システムなど盲点となりやすいリスクポイントのセキュリティチェックを実施する✔
その他の留意点
以上述べてきた6カ条のポイントに加え、昨今のトピックとなっている日本の「十分性認定」と、GDPR対応に不可欠な組織内のコミュニケーションの2点について補足しておきたい。
EU域内からEU域外へのデータの移転規制に関しては、いわゆる「十分性認定」(EUがデータ移転先の国・地域のデータ保護施策を評価・承認すること)を受ける(GDPR第45条)ことにより、解消される問題であると認識されがちだ。しかし、仮に日本がEUから十分性認定を受けたとしても、東南アジアや南米といった日本以外の拠点との間で個人データの域外移転が発生しているようなケースが存在する場合、これらの国が十分性認定を受けない限り、データ移転規制の問題は残されたままである点に注意が必要である。
もう1点、上記で解説してきた取り組みを実施するには、社内における関係部署の協力が不可欠である。特にIT部門は、以下の点からキーとなる局面が想定され、積極的に連携を図りながら効率よくGDPR対応を進めていくべきであることを念頭に入れておきたい。
- IT部門は情報システムの観点から、ビジネス横断的に個人データの流れを把握している場合が多い
- IT部門はセキュリティに関する規程を所管している場合が多いため、個人データに係る社内規程の整備の際には関与が必要となってくる
- 情報システムに影響のある点(ウェブサイトを通じた同意取得、個人データの保管期間など)やそれに伴う仕様変更の要否の検討に当たっては、IT部門との対話が欠かせない
おわりに
以上6つの優先対応事項を中心に解説を行ってきた。残り数カ月で的確に対応するには、できるだけ手戻りが発生しないように入念に計画を立案し、限られた期間で効果的な対応が実践できるように取り組むことが重要である。
-
EYアドバイザリー・アンド・コンサルティング
EY Japan Data Protection Leader パートナー - 金融機関、製造業、小売業、学校法人などの会計監査業務を経て、クラウドサービス、データセンターサービスを中心としたさまざまな事業会社におけるIT統制の保証業務や情報セキュリティ監査、システム監査に従事。2015年にはEY Japan マイナンバー制度対応支援オフィスを立ち上げ、当オフィスのリーダーとして企業および自治体におけるマイナンバー制度の開始に向けた準備対応を幅広く支援するとともに、関連するセミナー講演や執筆を多数手掛けてきた。現在はEYにおけるジャパン・データプロテクション・リーダーとして、EYのグローバルネットワークを通じて各国のプライバシー法規制や個人情報保護管理に対する企業支援を展開している。
公認会計士、公認不正検査士(CFE)、公認情報システム監査人(CISA)、システム監査技術者、公認情報セキュリティ主任監査人(CAIS-Lead Auditor)
