[市場動向]

変わる個人情報保護法制<後編>:法令の改正に対してCIO、IT部門に求められる対応とは

2017年10月4日(水)勝村 学(KPMGコンサルティング)

欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

現実的なセキュリティ対策の進め方

 さてIT部門としては頼れる道標のない状況で、どのように対策を講じていけばよいのでしょうか。「要求の範囲内で説明がつくならば、どのような方法でもよい」と開き直るのも一案ですが、ここではEU域内に本社を置くグローバル企業でも実践している幾つかのアプローチを紹介します。

 まず「リスク評価」の進め方ですが、評価対象が個人データの処理である以上、処理する「個人データ」が保護すべき重要なものであるかを判断する必要があります。少なくとも顧客データと従業員データは漏洩時のインパクトが異なるでしょうし、一括りに顧客データといっても、収集しているデータ項目によって個人データを提供した本人のプライバシー侵害の度合いに大きく差があるのも事実です。併せて収集する個人データの件数も、漏洩した場合の事故の重大性を左右する要素となり得ることは想像に難くありません。これらのパラメータを事前に決定の上、データマッピングの際に併せて調査し、その結果を文書として取り纏めておくことが望ましいでしょう(表1)。

表1 個人データ毎の取扱いの重要性評価
拡大画像表示

 次に会社にとって重要な個人データを認識し、それを処理するシステムが特定された後の「何を対策として講じるべきか」です。実施内容のアウトライン(全体像)の決定には、2つの典型的な方法があります。第1は欧州でも知られたISO27001などのフレームワークの活用、2番目は2018年5月以降の自社における主要な監督機関(英国におけるICOなど)が公表する、現行のセキュリティ対策事例などの文書を参考にした体系整理です。

 後者は監督機関が制裁を決定する基準としても考慮している可能性が高いため、重要視するべきです。しかしながら依然としてその記載内容も曖昧なことが多いため、複数の監督機関の公表内容を組み合わせ、実施項目として作り込みを行うパターンをとる必要があると考えられます。

 最後に決定した対策を「各システムに対してどの程度、講じるべきか」です。実務的には取扱う個人データの重要性に応じてシステムを3から4つの重要度に分類し、重要度に応じて実施内容を累加していくことになるでしょう。例えばアクセスログを活用した不正アクセスや不正な個人データ処理の監視といった観点では、重要性の低いシステムではアクセスログの取得だけを行い、重要性の高いシステムには定期的なログの点検まで行うといったイメージになります(表2)。

表2 個人データの重要性に応じた「処理のセキュリティ」における実施事項
拡大画像表示

 もちろん、一言でログの点検といってもアラートの設定から実施頻度、人の目視で行うか自動で分析するかなど、当然、その程度には相当の差があります。大事なのは一律に高いレベルを設定することではなく、あくまで保護レベルに応じて対策の程度を決定し、自社の決定通りの運用を立証できることです。

 以上から推測できる通り、GDPRで求められるセキュリティ対策に関する要求の特徴は、外部への説明責任に力点が置かれていることです。セキュリティ対策に限った話ではありませんが、そうした説明材料として規程など文書の整備や各種の運用記録の保存を求めているものと言えます。説明責任という視点からは、継続的な対策の見直しも重要な要素です。すなわち現状のセキュリティ対策と自社が理想とする保護レベルに開きがあった場合には、それを計画として文書にしておくことが期待されます。万一、事故が起きた際に、そうした文書を監督機関などへの説明に利用することで制裁減免の余地があると判断されるシナリオもありうるでしょう。

 総括として2018年5月までの対応策としては最低限、どういったフレームワークで「リスク評価」を実施し、現在どのような「技術的・組織的措置」を実施しているかを把握。その上で、運用手順も含めて構築済の措置に関しては記録を残すよう周知するとともに、未構築の措置については改善計画を作成しておくことが求められます。実際にEU域内の企業であってもGDPR施行前に対応策を完了させることは困難と考えるところが多く、数年後を目標とした無理のない長期計画を見据えている企業も少なくはありません。

IT部門として求められる対応

 さてこれまでGDPRに関わる対応策、特にシステム面のセキュリティ対策を説明しました。これが冒頭の「IT部門としてグループとして最低限、どのような対応をしなければいけないか」という問いへの回答になっているかというと、答はNoです。まず挙げられるのは、セキュリティ対策以外のGDPRコンプライアンスに関する要求を満たすための対応が必要になることです。

 典型例がWebを介して個人データを取得する場合です。適切な情報の提供や、確実に本人同意を得たと見なすことができるフォーム(同意ボタンやチェックボックスなど)を整備し、同意記録を保管する機能も備えるべき要件になります。ほかにも本人の権利への対応として、データポータビリティなどを確保できるシステムにしておかなければなりません。

 これらの要求はGDPRへの遵守に対して責任を有するコンプライアンスの統括部署(法務部等)と相談の上でシステム要件が定められ、IT部門はその決定に基づいてシステム導入・改修を実施する流れが想定されます。例えば同意取得のように監督機関から見て明確に違反の指摘を受けやすい要件については、2018年5月の施行前に優先してシステム対応を完了させることが望ましいと考えられています。

 またGDPRへの対応を広義にとらえれば、ITに関連する必要なプロセスの導入や改善が挙げられます。具体的には例えばシステム開発・導入におけるDPIA(Data Protection Impact Assessment)およびプライバシー・バイ・デザイン/デフォルトに関する手続を整備し、制度として定着させる必要があります。もっともDPIAの実施内容は、これまで説明してきたシステム対応と大きく変わることはありません。プライバシー・バイ・デザイン/デフォルトも実施内容の違いというよりは、機能要件を備えるタイミングおよびユーザーに向けた設計の話という認識です。

 ポイントとなるのは「リスク評価」が前提となる部分であり、その考え方をいかにシステムの企画・設計者に対して分かりやすい手続として落とし込むかが、円滑な運用を見据えた鍵となるでしょう。実務上はチェックリストを作成し、システム開発や導入における評価項目の一部として組み込むことが多い認識です。2018年5月までに制度の定着を図るのは難しいでしょうが、少なくとも早めに制度設計や実装を完了させ、それ以降の継続的な取組として運用・改善を考えるという進め方が妥当だと考えられます。

 他にもIT部門が整備すべきプロセスとしては、取引先に関する選定・評価・監督等の管理手順や、個人データ漏えい等が発生した際のインシデント対応フローの整備があります。前者は現行のEU各国における個人データ保護法令に対して責任が明確化された部分であり、後者は監督機関への72時間以内の報告を実現するため、今一度、グローバルにおける連絡体制としてあるべき姿を再考し、2018年5月までには少なくともそのプロセスを実施手順として落とし込んでおくことが必要とされます。

対応をグループ全体のプロジェクトと位置づける

 そして最後に「グループとしての対応」という部分では、上記のシステム対応やプロセス導入・改善に関わる施策を、グループ全体に対するプロジェクトとして計画し、実装を支援するとともに、その実施内容を監督することがIT部門の重大な役割になります。2018年5月を目途とするならば、グループ全社の現状把握と対応方針の策定までは見届けたいところです。 

 グループ全体としてのGDPRプロジェクトにおいては、本社とEU域内拠点でどのように役割分担をするかが重要であり、システムに関連する対応もどちら主導で行うかが問題となります。現実的にはグループの全体の規模やガバナンスの状況(地域統括会社の有無など)、EU域内拠点の成り立ちなどが影響するため、一概にどちらの進め方が効果的であると傾向を語ることはできません。

 しかし成功しているプロジェクトの土台には、相互に現状評価の結果を共有し、対応方針を擦り合わせるための充分な意思疎通を行っているという前提があります。本社IT部門の動きとして、まずはEU域内の中心拠点におけるIT部門とコンタクトを取り、GDPRをどのくらいのリスクと見立ててどのような対応が必要と考えているか、じっくりと意見を聞いてみることが先決です。

 以上より本稿ではIT部門に求められるGDPR対応を総括し、その主たる内容を(1)システム対応、(2)プロセス導入・改善、(3)プロジェクト管理、であるとして整理しました(図3)。

図3 IT部門に求められるGDPR対応の全体像
拡大画像表示

 重ねての言及となりますが、GDPRが施行される2018年5月はすぐそこに迫っています。少なくとも実施すべき項目すべてをそれまでに完了させるような、総花的な対応計画を立てている状況ではありません。各対応事項について説明責任を果たすために、どういった体制や文書などが必要かという観点から逆算し、何を先送りにしても問題がないかを改めて検討する。このことが、GDPR対応プロジェクトを成功させる第一歩になると考えられます。

【参照】変わる個人情報保護法制<前編>:世界の個人データ保護関連法令の改正動向とポイント
 

関連記事

Special

-PR-

変わる個人情報保護法制<後編>:法令の改正に対してCIO、IT部門に求められる対応とは [ 2/2 ] 欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

PAGE TOP