Avatar of AvePoint

SharePoint ユーザー企業は、GDPR 対策をいかに進めるべきか

By: AvePoint
共有:

image_0802
※この記事は、2017 年 6 月 27 日に 米国 AvePoint のブログに掲載された “How Ready is the SharePoint Community for Major Changes to Data Privacy Regulation?” の抄訳となります。

2016 年 4 月 14 に欧州議会で承認された EU (欧州) 一般データ保護規則 (GDPR) が、2018 年 5 月 25 日から発効します。

GDPR は、オンライン上で業務を行う企業、デジタル化を進める企業の流れがますます活発化する中、EU 圏の住民のプライバシーとデータの安全性を守るための規則として位置付けられています。

EU 圏内の企業・組織に対して影響が発生するのはもちろんですが、GDPR の特徴は、EU 圏外に所在する企業・組織に対しても影響が出る内容を含んでいるところにあります。言い方を変えると、EU 圏内に拠点を置いている企業も、EU 圏内に顧客を持つ企業も、ほぼ確実に GDPR の影響を受けるということになります。

企業・組織が理解しておくべきこと

【起きる可能性のある問題の把握と、情報共有システムの見直しが重要】
今日の企業活動において、コラボレーションはもはや欠かせない業務の一環となりつつあります。そしてコラボレーションには、知的財産やコンテンツをアップロードして共有するために利用される企業・組織共通の情報プラットフォームが重要な位置を占めています。

企業・組織が使用する SharePoint などの情報環境には、数多くの個人情報・パーソナル データが格納されています。このため、情報プラットフォームを持っている企業・組織は、GDPR 違反の事項がないかどうかを今一度確認することが重要です。

EUGDPR.org によると、本規制でいうところの 「パーソナル データ」 とは、「自然人もしくはデータの対象である個人に関連し、直接または間接的に個人を特定することができるすべての情報」 とされています。つまり、名前、写真、メールアドレス、銀行関連情報、SNS への投稿、医療情報、IP アドレスなどがすべて該当することになります。

これら 「パーソナル データ」 に該当する情報を情報共有基盤からすべて削除する必要はありませんが、どのような問題が起きる可能性があるのかを正確に理解し、既存のシステムとデータを見直すことが必要となる ことが考えられます。

特別カテゴリーのパーソナル データ (人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格に関する個人データ、および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータまたは自然人の性生活もしくは性的指向に関するデータ) にあたる情報の処理については 「明示的な同意」 が求められますが、もっと広義の 「個人情報」 に該当するデータの場合は、「曖昧でない同意」 で充分とされています。

特別カテゴリーに該当するパーソナル データを保持することになる企業・組織には、法務部と緊密に連携を取り、これらのデータの処理にはどの程度の 「同意」 が必要となるのか、違反した場合の罰則は何なのかについての情報を早急に収集することが推奨されます。

【GDPR で扱われる重要な事項】
適用の範囲が以前と比べて格段に広くなること以外にも、罰則や扱う範囲など、GDPR では以前よりも広範な分野が対象となっています。以下は、今回追加されるデータ主体の権利です。

セキュリティ違反の通知: 情報漏洩が発生し、その結果 「個人データの侵害が自然人の権利および自由に対して高いリスクを引き起こし得る場合」、72 時間以内にデータ主体に対して通知することが義務づけられています。

アクセス権: データ主体 (個人) は、「自分の情報が処理されたか」「どこで処理されたか」「処理の目的は何か」という問い合わせを出す、(データ取り扱いの) 透明性への権利を有します。これには、パーソナル データの電子フォーマット無料提供が含まれます。

削除権 (忘れられる権利): データ主体は、管理者に対して遅滞なく自らの個人データの削除を求める権利を有し、管理者は遅滞なく個人データを削除する義務を負います。また、場合によっては、サード パーティーに対してデータの取り扱い中止を要求する権利を持ちます。

データ ポータビリティの権利: データ主体は、自分に関連するデータのコピー全てを受領する権利のほか、そのデータを 「構造化され・一般的に使用され・機械によって読み取り可能な形式で」 受け取る権利を有します。

プライバシー・バイ・デザイン: システムを設計する段階から、つまり事後的ではなく事前的に、データ保護に関するコンプライアンスの遵守が可能となるようにしておくことが要求されます。

データ保護責任者 (DPO) の選任: 管轄のデータ保護機関 (DPA) に対する報告要求がシンプル化されます。現行のシステムに替わり、GDPR では内部記録要求の追加がされますが、DPO (データ保護責任者) の選出が義務付けられているのは、管理者 (Controller)、および特定のカテゴリーに該当する情報を定期的に・かつ組織的にモニタリングすることが求められる処理者 (Processor) に限られます。

このため、GDPR 対策にとって最も重要であるのは、「現行のシステムの見直し」「影響が受ける可能性が高い事項の把握」「対応チェックリストの作成」 であると考えられます。

【GDPR 特別キャンペーンのお知らせ】
2017-08-02_13h52_44急ピッチで GDPR 準備・対策を進める日本企業のお客様に、グローバルで培った知見を活かした支援を提供すべく、AvePoint Japan は GDPR キャンペーンを立ち上げました。

効果的な対策のための勘所をまとめた無料の eBook シリーズなど、GDPR 対策に今日から役立てていただけるコンテンツを数多く揃えております。
◎特設ページ: http://avepoint.co.jp/gdpr/

また、来る 2017 年 8 月 23 日 (水) には、数多くのグローバル企業を対象に GDPR をはじめとするコンプライアンス対策を提供してきた AvePoint のシニア コンプライアンス テクニカル スペシャリストが緊急来日し、非 EU 圏での GDPR 対策に関する最新の動向を解説する無料セミナー 「GDPR 対策最新事情: グローバル エキスパートから学ぶベスト プラクティス」 を開催いたします。奮ってご参加ください。
◎セミナーお申し込みページ: https://www.avepoint.co.jp/about/events/gdpr-seminar-0823/

 

共有: