• 会員限定
  • 2018/08/23 掲載

GDPR対応に3つの誤解、ガートナーが「個人情報だけの問題ではない」と語る理由

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
個人情報保護を目的としたEU一般データ保護規則(GDPR)。5月に同規則が施行されたことを受け、国内でも大企業を中心に対応が本格化している。だが、なじみが薄いゆえの誤解も少なくない。ガートナーで主席アナリストを務めるアヤル・ティロシュ氏は「GDPRで痛い目に合わないためにはありがちな誤解を解消し、正しく対応する必要がある」と説く。
画像
GDPRについての問い合わせが殺到しているという
(©maxsim - Fotolia)

GDPR対応を阻む「認識不足」とは

 今、セキュリティ/リスク管理担当者の最大の関心事は、5月に施行された「一般データ保護規則(General Data Protection Regulation:GDPR)」だろう。事実、ガートナーへの問い合わせは今年に入ってうなぎ上りだ。2018年第1四半期の対応件数は前年同期比で3.5倍を突破し、今なお増加中という。

画像
2018年に懸案の原因となる新しいプライバシー・リスク
(出典:ガートナー)
関連記事
 既存の「データ保護指令」を上書きする形で施行されたGDPRは、これまでの「各国の法規制整備を求める“指令”」から「EU加盟国に直接適用される“規則”」へと変更された。個人情報の取り扱い方や情報主体である個人の権利に加え、違反時の高額な制裁金の支払い義務が明文化されたことで、EU圏内のみならず、EUと取引のある組織でも対応作業が進むことになった。

 ただし、ガートナーで主席アナリストを務めるアヤル・ティロシュ氏によると、各社の対応にはいくつか気がかりな点があるという。同氏は、「取り組みを概観するとGDPRを誤解している傾向が数多く見受けられる。知識不足で仕方がない面もあるが、これを解消しなければ、適切な対策はできない」と指摘する。

 ティロシュ氏が代表例として挙げるのが、「GDPRはITの問題」「GDPRはPII(Personally Identifiable Information:個人情報)に限った問題」「個人情報の利用に合意を取り付けるのが難しく、対応の近道は制度の抜け穴を探すこと」という3つの誤解だ。

GDPRはITの問題ではない

 まず、最初の誤解「GDPRはITの問題」と考えている企業は多い。しかし、GDPRでは第35条と第36条で「個人情報の体系的かつ広範なプロファイリングを実施したり、データを大規模に処理したりする場合には、個人のプライバシー保護に向けた影響評価プロセスを実施すること」と記載されている。

「ITやIT部門の役割はインパクトの分析支援にとどまる。(個人のプライバシー保護に向けた影響評価プロセスの)判断を主体的に下し、最終的に責任を負うのは人であり組織であることは自明の理だ」(ティロシュ氏)

 また、一般にGDPR対策はCPO(Chief Privacy Officer:最高プライバシー責任者)の主導で実施されるが、取り組みの当事者となるのは、CPOでもITスタッフでもなく、個人情報に関わるあらゆる部門となる。ティロシュ氏は、「たとえば顧客データのマスキングが必要なケースでは、業務に支障が生じない匿名化のレベルは現場でしか判断できない。IT部門に対応を丸投げして済む話ではない」と強調する。

 2つ目の誤解「GDPRが個人情報に限った問題ではない例」としてティロシュ氏が引き合いに出したのが、地図情報である。一見すると地図情報は個人情報とは無縁だが、それがGPSを取り付けた兵士のジョギングデータから作成された秘密基地の情報であればどうなのか。

「どこに何があるかを推察できるこの地図は、当然、軍事機密に該当する。個人情報も同様に考えるべきだ。一見しただけでは個人情報と判別できないものでも、作成の経緯まで遡ることでプライバシーが暴かれ、個人情報になり得ることに留意すべきなのだ」(ティロシュ氏)

 そうしたデータはリスクが思わぬ形で顕在化することも多いとティロシュ氏は力説する。そこで、あらゆる社内データの棚卸を実施したうえで、プライバシーの角度からデータの存在理由を入念に検証する作業が求められるという。そのうえで、発掘した個人情報のうち、不必要なものを確実に消去するのだ。

「データを持たなければリスクは一切発生しない。もし(データを)持つと決めたのならインパクト評価の中で管理法や活用法を入念に確認し、保有する限り監視し続けることでリスクを管理せねばならない」(ティロシュ氏)

【次ページ】GRCやIRMの役割とは?GDPR対応フローを図解

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます