セキュリティの法的側面(GDPR)について
2018年5月25日にEUで施行されたGDPR(一般データ保護規則)、1年が経過し多額の課徴金で燃え盛っておりますが、GDPRの越境規制によって、そろそろ日本にも飛び火するのではないかと言われております。私は、数年ほど前に個人情報保護士としてプライバシーマーク認証を取得したこともありますが、随分と景色が変わった気がします。
250億円!:GDPR 違反で、初の大型制裁金が科せられる
英国の個人情報保護監督機関、情報コミッショナーオフィス(以下、ICO)が現地時間7月8日、「一般データ保護規則(General Data Protection Regulation:以下、
digiday.jp
個人情報保護法はGDPRの十分性認定により相互認証へ
原則、GDPRではEU域外への個人データの持ち出しは禁止されていますが、日本はデータの持ち出しが認められました。つまり、個人データがEU圏内から越境して日本国内で利用できますが、引き続きGDPRの規制は適用されます。
データ保護オフィサー(DPO)
GDPRは厳格な規則が定められており、会社や組織で運用するには担当者が必要です。以下の場合、GDPRではデータ保護オフィサーを選任することを義務付けております。
a)取扱いが公的機関又は団体によって行われる場合
b)管理者又は処理者の中心的業務が、データ主体の大規模な定期的かつ体系的な監視を要する取扱作業である場合
c)管理者又は処理者の中心的業務が、特別な種類のデータ 又は 有罪判決及び犯罪に関連する個人データの大規模な取扱いである場合
なおGDPR 遵守違反があった場合、DPOが責任を負うわけではなく。規定に則した取扱いが実施されるように確実を期し、証明できるように義務づけられるのは管理者又は処理者であるとしています。つまり、管理者や処理者とは個人情報保護責任者や取扱い担当者、情報シス部門なども該当するんでしょうね。
DPOの立場
データ保護関連のあらゆる問題で、可能な限り最も初期の段階から関与すること。データ保護影響評価に関しては、GDPR は DPO の初期の関与を明確に定めており、管理者は影響評価を実行する際、DPO の助言を求めることを明記しています。
プライバシー・バイ・デザインのアプローチへ
とりわけ海外向けのECサイトを持っていたり、グローバルな拠点を持っていたり、個人情報を取り扱う会社や組織の場合、DPOと連携してセキュリティ対策を施す必要がありそうです。GDPRなんて知らずに仕事を請けてしまうと、面倒なことになりそうです。