GDPR

GDPRプログラムを実践する前に知っておくべきこと

2018-05-17

カテゴリー GDPR

記事をシェアする:

ついに、変革の時が訪れます。これまで、3本シリーズで現在のGDPR対応状況の評価から、組織での設計、それに向けたアプローチの構築まで、あらゆる議論を重ねてきました。そして、いよいよIBMセキュリティーGDPRフレームワークの運用開始段階について取り上げる準備が整いました。

GDPR対応計画の運用開始

GDPR対応過程でこれまで完了したことを振り返ると、次の段階である運用開始が、一連のプロセスに沿ったものだと気付くはずです。とは言え、移行ができる限りスムーズに進むよう、いくつかのヒントを提示します。

周知

言うまでもなく、「何が、どんな理由で変わろうとしているのか」を全員に周知することが必要不可欠です。説明は可能な限りシンプルにすることを意識しましょう。また、プロセスや手続きを詳細にテスト・改善する間は、少なからず問題が起きる可能性があります。それを事前に説明した上で、必要であれば協力を求めましょう。

監視

すべての進行状況を把握できるようにしましょう。それが、小さな問題を大きな問題にしないための最善の方法の1つです。

調整

進捗をみていると、複数の変更必要箇所が見つかります。しかし、大多数のシステム、プロセス、手続きはすでにテスト済みのはず（または、今なおテスト中）です。そのため、ここでは大幅な変更ではなく、微調整の実施にとどまるでしょう。

評価

GDPRプログラムの実績を把握し、その成果について評価することが必要です。評価すべき対象を決め、信頼できる（かつ検証可能な）データを利用することが求められます。例えば、以下の数字を管理するとよいでしょう。

準備したデータ保護責任者。
訓練した人員。
移行済みのデータ。
受領し対応したデータ主体へのアクセス要求。
発生した情報漏洩やインシデント（発生した場合）。

こうした情報をすぐに利用できるようにしておくことは、規制当局の調査が入った場合、非常に便利です。そして、経営において必要な各種指標も利用できることを、経営陣にも伝えてください。

管理

処理対象のデータが、1,000件であろうと何十万件であろうと、プライバシー管理室を設置し、データガバナンスおよびデータ全体を管理することを推奨します。理想としては、どのデータ主体に対しても焦点を1つに絞れるよう、「一意の個人識別子」を作成し、管理するシステムの準備を検討すべきです。これを管理できるのは、プライバシーチーム、IT部門、または個別のデータ保護チームです。

現実を受け入れる

規制当局があなたの会社にやってくる可能性については、明確には回答できません。経験上、5月25日までにGDPRに完全には対応できない組織が多いと推測できますが、それまでに可能な限り努力することが重要です。

GDPR対応過程を進めるうえでのもう1つの段階

忘れてはいけないのは、GDPR対応過程が、ここで終わるわけではないということです。IBMセキュリティーGDPRフレームワークの第5段階、つまり最終段階では、準拠に重点を置いています。例えば、管理者と処理者の関係の的確な管理や、適切なセキュリティー制御が実施されていることを保証する、技術的および組織的手段が導入済みであることの実証などが含まれます。それについては次回、説明する予定です。

なお、GDPR対応を進めるために、IBMがプライバシーソリューションとセキュリティーソリューションを利用して支援する内容に関して詳しくはこちらを、またより広い視点では、ibm.com/gdprをご覧ください。

GDPR対応用にパーソナライズされたガイドを利用して、自社のGDPR対応過程の進捗を評価する

注意：GDPRを含むさまざまな法律や規制に自ら確実に準拠することはお客様の責任です。IBMが法律上の助言を提供することはありません。またIBMのサービスや製品を利用することで、お客様があらゆる法律や規制に確実に準拠するようになることを表明、保証するものでもありません。IBM独自のGDPR対応過程、およびお客様のコンプライアンス過程をサポートするGDPRの機能とサービスについて、詳しくはこちらをご覧ください。