SEO対策

GDPRが求めるデータ保護の要件に対応するため、内部監査で確認するべき事項とは何か

marketing
marketing
2019/03/25 21:23

GDPRの複雑な要件を、どの程度遵守できているかを内部監査で確認する

GDPR(欧州一般データ保護規則)はセキュリティやプライバシーに関して、厳しく複雑な要件を求めています。欧州市民の個人情報を取り扱う場合は、どの国に本拠を持つ企業であってもGDPRを遵守する必要があるので、この規制は全世界を巻き起こんだ話題となりました。GDPRに違反すると2000万ユーロ、または全世界における年間売上高の4%のうち高い方の罰金が科されるため、GDPR対策は多くの企業が課題として認識しています。

GDPR対策は、組織の業務プロセスが要件に合致しているか確認する作業から始まります。外部のコンサルタントに高額な料金を払ってGDPR対策を講じる前に、自社内で監査を行い、どの点を改善するべきかを明らかにする方法が推奨されます。

データの取り扱いに関する方針や手続き、責任範囲が明文化され、ガバナンスが遵守されている点を確認します。データに関するリスクが特定・評価され、リスクを軽減する手段が講じられている必要があります。

GDPRは欧州市民の個人情報に関する規制なので、個人情報をどのように取得・保護し、実装状況を社内で共有します。特に、取得したデータの削除を個人が希望した場合の手続きや、データ流出時に当局へ報告する方法などを文書化する要件があります。

GDPRは文書化が肝となります。データを取得する目的や、データの種類などをまとめます。協力会社にデータの入力や処理を依頼している場合は、依頼先の情報やGDPR対策状況を文書化します。取得した国からデータを蓄積する国へと転送する場合は、どのようなセキュリティ対策を講じているかを特定します。

データの種類、収集・保護・文書化のプロセスを文書化する

企業の規模が大きくなるとデータの取り扱いを洗い出すのが複雑になりますが、監査で調べるべきポイントは変わりません。どんなデータを収集・保持・保護・文書化しているか、どのくらいの期間、データを保有しているか、データ削除依頼を受けたときのプロセスはどうなっているか、といった観点が含まれます。

個人情報は、氏名・住所・電話番号・メールアドレス・IPアドレス・クッキー等が主要なものです。また、民族出自・健康・政治的意見・宗教・団体活動・性的指向といった個人情報は極めて慎重に扱うべき事項であり、これらのデータを収集するには、法的な裏付けが必要です。

個人情報を保持する場所は文書化しておかなければなりません。地理的な場所はもちろん、技術的な評価も求められます。例えば、データベースに保持した情報が暗号化されているかどうか、インターネットを通してデータを送る際には安全な通信手段を使っているか、という実装状況を確認します。

取得したデータをいつまでも保持していると言うのは、保持期間の定義としては、GDPRの元では良いとは言えません。その情報に価値がある期間を過ぎたものは、適宜削除する手続きを定義するというのがGDPRの要件です。情報を保持し続けるコストや、情報を最新化するのに要する煩雑さを考慮します。

データの所在や保護対策を疎かにしている企業は重大なセキュリティ事故のリスクが高い

データ保護違反は、どこに何のデータが保持されているかを把握していないばかりに、適切なセキュリティ対策がとられておらず、悪意のある攻撃者からの被害を受けるケースが多く見られます。監査は、GDPRに要求されているのに加え、企業のデータを守るために実施するべきものです。

企業が保有するデータの全てを監査するのは現実的か。現実的でなければ、データを一か所に蓄積して、監査可能な状態にできないか、を検討するようにしましょう。ある調査では、76%の企業がサイバーセキュリティの事故が起きた際にとるべき手続きを文書化していないと言われています。規制要件に対する違反を放置している企業は、大きなセキュリティ事故を招いてしまいます。

まとめ

GDPRはデータを収集・処理するプロセスを明文化し、相応のセキュリティ対策を講じることを要件としています。まず、内部監査を通じて自社の状況を確認し、業務的・技術的な実装につなげます。企業の重要な情報を守り、重大な違反を起こさないよう、冷静な対応が求められています。

わかるページ解析を

Google Analytics・Search Consoleから
わかりやすいPowerPoint・Excelレポートを生成

report
HOMEKOBITブログWEBマーケティングSEO対策GDPRが求めるデータ保護の要件に対応するため、内部監査で確認するべき事項とは何か