一般データ保護規則 (GDPR)、欧州連合のランドマーク データプライバシー しかし、多くの組織は依然としてコンプライアンス要件を満たすのに苦労しており、EU データ保護当局は罰則を科すことをためらっていません。

世界最大手の企業であっても、GDPR の問題から逃れることはできません。アイルランドの規制当局 メタに1.2億ユーロの罰金を科す イタリア当局は2023年に OpenAIを調査中 違反の疑いがある場合は、ChatGPT を一時的に禁止することさえあります。

多くの企業は、法律が複雑であるだけでなく裁量に委ねられている部分も多いため、GDPR 要件を実装することが難しいと感じています。 GDPR は、ヨーロッパ内外の組織が EU 居住者の個人データをどのように扱うかについての一連の規則を規定しています。ただし、企業はこれらのルールをどのように制定するかについてある程度の裁量が与えられます。

GDPR に完全に準拠するための組織の計画の詳細は、組織が収集するデータと、そのデータをどのように扱うかによって異なります。とはいえ、GDPR を導入する際にすべての企業が実行できる核となる手順がいくつかあります。 

• 個人データの棚卸し
• 特別なカテゴリのデータを識別して保護する 
• データ処理アクティビティを監査する
• ユーザー同意フォームを更新する  
• 記録管理システムを作成する
• コンプライアンスリーダーを指名する
• データプライバシーポリシーの草案を作成する
• サードパーティパートナーが準拠していることを確認する
• データ保護の影響評価のプロセスを構築する
• データ侵害への対応計画を実施する
• データ主体が権利を行使しやすくする
• 導入情報 セキュリティ対策

GDPRを実装する必要がありますか? 

GDPR は、データを処理するすべての組織に適用されます。 個人データ 組織の拠点がどこにあるかに関係なく、欧州居住者の対象となります。デジタル経済の相互接続性と国際性を考慮すると、今日の多くの企業 (おそらくほとんどの企業) がそれに含まれます。 GDPR の範囲に該当しない組織でも、データ保護を強化するためにその要件を採用する可能性があります。

より具体的には、GDPR は欧州経済領域 (EEA) に拠点を置くすべてのデータ管理者とデータ処理者に適用されます。 EEA には、EU 加盟国 27 か国すべてに加えて、アイスランド、リヒテンシュタイン、ノルウェーが含まれます。 

A データコントローラー 個人データを収集し、その使用方法を決定する組織、グループ、または個人を指します。注文の最新情報を送信するために顧客の電子メール アドレスを保存するオンライン小売業者を考えてみましょう。

A データプロセッサ データ処理活動を行う組織またはグループです。 GDPR では、「処理」をデータに対して実行されるあらゆるアクション (データの保存、分析、変更など) として広く定義しています。処理者には、企業が主要な顧客層を理解するのに役立つようにユーザー データを分析するマーケティング会社など、管理者に代わって個人データを処理するサードパーティが含まれます。

GDPR は、次の条件の少なくとも 1 つを満たしている場合、EEA 外にある管理者および処理者にも適用されます。 

• 同社は、金銭のやり取りがない場合でも、EEA 居住者に商品やサービスを定期的に提供しています。
• 同社は追跡 Cookie を使用するなどして、EEA 居住者の活動を定期的に監視しています。 
• 当社は、EEA 内の管理者に代わって個人データを処理します。 
• その会社にはEEA内に従業員がいます。

GDPR の範囲については、他にも注目に値することがいくつかあります。第一に、これは自然人の個人データ (とも呼ばれます) のみに関係します。 データ主体 GDPRの用語で。あ 自然人 生きている人間です。 GDPR は、企業などの法人や故人のデータを保護しません。

第二に、GDPR による保護を受けるために EU 国民である必要はありません。彼らはEEAの正式な居住者である必要があるだけです。

最後に、GDPR は、商業、学術、政府など、事実上あらゆる理由での個人データの処理に適用されます。企業、病院、学校、公的機関はすべて GDPR の対象となります。 GDPR から免除される処理操作は、国家安全保障および法執行活動、およびデータの純粋に個人的な使用のみです。

GDPRの実装手順 

すべてに対応する万能の GDPR コンプライアンス計画などというものはありませんが、組織が GDPR 実装の取り組みを導くために使用できる基本的な実践方法がいくつかあります。

主要な GDPR 要件のリストについては、 GDPR 準拠チェックリスト. 

個人データの棚卸し  

GDPR はデータ インベントリを明示的に要求していませんが、多くの組織は 2 つの理由からここから始めます。まず、企業がどのようなデータを保有し、それがどのように処理されているかを知ることは、組織がコンプライアンスの負担をより深く理解するのに役立ちます。たとえば、ユーザーの健康データを収集する企業には、電子メール アドレスのみを収集する企業よりも強力な保護が必要です。

第 2 に、包括的なインベントリにより、データの共有、更新、または削除を求めるユーザーのリクエストに簡単に対応できるようになります。 

データ インベントリには、次のような詳細を記録できます。

• 収集されるデータの種類 (ユーザー名、閲覧データ)
• データ母集団 (顧客、従業員、学生)
• データの収集方法 (イベント登録、ランディング ページ)
• データの保存場所 (オンプレミスサーバー、クラウドサービス)
• データ収集の目的 (マーケティング キャンペーン、行動分析)
• データの処理方法 (自動スコアリング、集計)
• データにアクセスできる人 (従業員、ベンダー)
• 既存の安全対策 (暗号化, マルチファクタ認証) 

さまざまなワークフロー、データベース、エンドポイントなど、組織のネットワーク全体に散在する個人データを追跡するのは困難な場合があります。 シャドーIT資産。 データ インベントリをより管理しやすくするために、組織はデータを自動的に検出して分類するデータ保護ソリューションの使用を検討できます。 

IBM Guardium® Data Protection が、AWS、DBaaS、オンプレミスのメインフレームなどの主要なリポジトリーにわたって機密データを自動的に検出、分類、保護する方法を学びましょう。

特別なカテゴリのデータを識別して保護する 

データのインベントリを作成するとき、組織は追加の保護が必要な特に機密性の高いデータをメモする必要があります。 GDPR では、特に 3 種類のデータ (特別カテゴリのデータ、有罪判決データ、児童データ) に対する予防措置が追加されています。  

• 特別なカテゴリのデータ これには、生体認証、健康記録、人種、民族、その他の高度な個人情報が含まれます。組織は通常、特別なカテゴリのデータを処理するためにユーザーの明示的な同意を必要とします。 

• 有罪判決データ 公的機関によってのみ管理され、その指示に従って処理される場合があります。 

• 子供のデータ 保護者の同意なしには処理することはできず、組織にはデータ主体の年齢と保護者の身元を確認するメカニズムが必要です。 EEA の各州は、GDPR に基づいて独自の「子」の定義を設定します。カットオフは13歳未満から16歳未満までとなっています。企業は、これらのさまざまな定義に準拠する準備をしておく必要があります。 

データ処理アクティビティを監査する 

データ インベントリの際、組織はデータが受けた処理操作を記録します。次に、組織はこれらの操作が GDPR 処理ルールに準拠していることを確認する必要があります。最も重要な GDPR 原則には次のようなものがあります。

• すべての処理には確立された法的根拠が必要です。 データ処理は、組織がその処理について承認された法的根拠を持っている場合にのみ許容されます。一般的な法的根拠には、ユーザーの同意の取得、ユーザーとの契約を履行するためのデータの処理、公益のためのデータの処理が含まれます。組織は、すべての処理操作を開始する前に、その法的根拠を文書化する必要があります。

承認された法的根拠の完全なリストについては、 GDPR 準拠ページ。

• 目的の制限： データは、明確に定義された目的のために収集および使用される必要があります。 

• データの最小化： 組織は、指定された目的に必要な最小限のデータを収集する必要があります。 

• 位置精度： 組織は、収集したデータが正確かつ最新であることを確認する必要があります。 

• ストレージの制限： 組織は、目的が達成され次第、データを安全に廃棄する必要があります。 

GDPR 処理原則の完全なリストについては、 GDPR 準拠チェックリスト.

ユーザー同意フォームを更新する  

ユーザーの同意は、処理の一般的な法的根拠です。ただし、GDPR では、同意は、情報を提供され、肯定的で自由に与えられた場合にのみ有効です。組織は、これらの要件を満たすために同意フォームを更新する必要がある場合があります。

• 同意が確実に得られるようにするために、組織はデータ収集の時点で、何を収集するのか、またそのデータをどのように使用するのかを明確に説明する必要があります。

• 確実に同意を得るには、組織はオプトイン アプローチを採用する必要があります。このアプローチでは、ユーザーは積極的にボックスにチェックを入れるか、同意を示す声明に署名する必要があります。同意書も同梱できません。ユーザーは各処理アクティビティに個別に同意する必要があります。  

• 同意が無料であることを保証するために、組織はサービスに真に不可欠なデータ処理アクティビティに対してのみ同意を求めることができます。言い換えれば、企業は、T シャツを購入するためにユーザーに政治的意見の開示を強制することはできません。ユーザーはいつでも同意を取り消すことができなければなりません。  

記録管理システムを作成する 

従業員が 250 人を超える組織、およびデータを定期的に処理したり、リスクの高いデータを扱ったりする規模を問わず企業は、その処理活動の書面による電子記録を保持する必要があります。 

ただし、すべての組織がそのような記録を保持したいと考えるかもしれません。これは、プライバシーとセキュリティへの取り組みを追跡するのに役立つだけでなく、監査や違反が発生した場合にコンプライアンスを証明することもできます。企業は、誠実に遵守する努力をしたことを証明できれば、罰則を軽減または回避できます。  

データ管理者は、GDPR によりパートナーやベンダーのコンプライアンスに対する責任が求められるため、特に堅牢な記録を保持したいと考える場合があります。 

GDPR コンプライアンスの責任者を任命する  

特別なカテゴリのデータを定期的に処理したり、対象を大規模に監視したりするすべての公的機関および組織は、担当者を任命する必要があります。 データ保護責任者 (DPO)。 DPO は、GDPR コンプライアンスを担当する独立した執行役員です。一般的な責任には、リスク評価の監督、データ保護原則に関する従業員のトレーニング、政府当局との協力などが含まれます。

DPO を任命する必要があるのは一部の組織だけですが、すべての組織が任命を検討したいと考えているかもしれません。指定された GDPR コンプライアンス責任者を置くと、実装を効率化できます。

DPO は、企業の従業員である場合もあれば、契約に基づいてサービスを提供する外部コンサルタントである場合もあります。 DPO は最高レベルの管理者に直接報告する必要があります。会社は、職務を遂行した DPO に対して報復することはできません。 

EEA 域外の組織は、EEA 居住者のデータを定期的に処理する場合、または非常に機密性の高いデータを扱う場合、EEA 内で代表者を任命する必要があります。の EEA代表の 主な任務は、調査中に会社に代わってデータ保護当局と調整することです。代表者は、従業員、関連会社、または雇用されたサービスの場合があります。 

DPO と EEA 代表は、異なる責任を持つ異なる役割です。特に、代表者は組織の指示に従って行動しますが、DPO は独立した役員でなければなりません。組織 どちらかの当事者を指名することはできません DPOとEEAの両方の代表を務める予定です。

組織が複数の EEA 州で活動している場合、組織は、 主任監督当局。主任監督当局は、ヨーロッパ全土でその企業の GDPR 準拠を監督する主要なデータ保護当局 (DPA) です。 

通常、主任監督当局は、組織が本部を置くか、中核的な処理活動を実施する加盟国の DPA です。 

データプライバシーポリシーの草案を作成する 

GDPR では、組織がデータの使用方法について人々に常に情報を提供することが義務付けられています。企業は、企業が収集する内容、保持と削除のポリシー、ユーザーの権利、その他の関連詳細を含む、自社の処理操作を明確に説明するプライバシー ポリシーを起草することで、この要件を満たすことができます。

プライバシー ポリシーは、誰でも理解できる平易な言葉を使用する必要があります。重要な情報を密集した専門用語の背後に隠すと、GDPR に違反する可能性があります。組織は、データ収集の時点でプライバシーに関する通知を共有することで、ユーザーに自社のポリシーを確実に確認させることができます。組織は、Web サイト上の見つけやすい公開ページにプライバシー ポリシーをホストすることもできます。 

サードパーティパートナーが準拠していることを確認する 

管理者は、処理者、ベンダー、その他の第三者による個人データの使用方法を含め、収集した個人データに対して最終的な責任を負います。パートナーが準拠していない場合、コントローラーはペナルティを受ける可能性があります。 

組織は、データにアクセスできる第三者との契約を見直す必要があります。これらの契約には、法的拘束力のある方法で、GDPR に関するすべての当事者の権利と責任が明確に記載されている必要があります。

組織が EEA 外のプロセッサーを使用している場合でも、それらのプロセッサーは GDPR 要件を満たす必要があります。実際、EEA 外へのデータ転送には厳格な基準が適用されます。 EEA 内の管理者は、次の基準のいずれかが満たされる場合にのみ、EEA 外の処理者とデータを共有できます。

• 欧州委員会は、この国のプライバシー法が適切であると判断した
• 欧州委員会は、処理者には十分なデータ保護があるとみなしました。
• コントローラーはデータが確実に保護されるように措置を講じています

すべてのパートナーシップとデータ転送が GDPR に準拠していることを確認する 1 つの方法は、標準の契約条項を使用することです。これらの事前に作成された条項は欧州委員会によって事前に承認されており、あらゆる組織が自由に使用できます。これらの条項を契約に挿入すると、各当事者が条項を遵守する限り、契約は GDPR に準拠したものになります。標準契約条項の詳細については、 欧州委員会のウェブサイトを参照 (リンクは ibm.com の外にあります)。

データ保護の影響評価のプロセスを構築する

GDPR では、リスクの高い処理を行う前にデータ保護影響評価 (DPIA) を実施することが組織に求められています。 GDPR では、新しいテクノロジーの使用、機密データの大規模な処理など、いくつかの例が示されていますが、リスクの高いアクティビティをすべて網羅的にリストしているわけではありません。

組織は、安全を確保するために、新しい処理操作の前に DPIA を実行することを検討する場合があります。リスクが DPIA を正当化するのに十分なほど高いかどうかを判断するために、簡素化された事前スクリーニングを使用する場合もあります。

少なくとも、DPIA は処理とその目的を説明し、処理の必要性を評価し、データ主体に対するリスクを評価し、緩和策を特定する必要があります。軽減後もリスクが高いままの場合、組織は次に進む前にデータ保護当局に相談する必要があります。 

IBM Guardium® Insights が、GDPR、CCPA、およびその他の主要な規制向けに事前構成されたワークフローを使用してコンプライアンス・レポートを合理化する方法を学びましょう。

データ侵害への対応計画を実施する 

組織は最も個人的なものを報告する必要があります データ侵害 72時間以内に監督当局に報告します。個人情報の盗難など、侵害によってデータ主体にリスクが生じる場合、企業は対象者にも通知する必要があります。通知は、それが不可能な場合を除き、被害者に直接送信する必要があります。その場合は公告すれば足りる。

組織には効果的な効果が必要です インシデント対応 進行中の侵害を迅速に特定し、脅威を根絶し、当局に通知する計画。インシデント対応計画には、システムを回復して復元するためのツールと戦術を含める必要があります 情報セキュリティー。組織が制御を取り戻すのが早ければ早いほど、重大な規制措置を受ける可能性は低くなります。

組織はこの機会を利用して強化することもできます データセキュリティ 対策。侵害がユーザーに損害を与える可能性が低い場合、たとえば、盗まれたデータがハッカーに使用できないほど高度に暗号化されている場合、企業はデータ主体に通知する必要はありません。これは、データ侵害に伴う評判や収益へのダメージを回避するのに役立ちます。

データ主体が権利を行使しやすくする 

GDPR は、組織によるデータの使用方法についてデータ主体に権利を付与します。たとえば、修正の権利により、ユーザーは不正確なデータや古いデータを修正できます。消去する権利により、ユーザーは自分のデータを削除することができます。

一般に、組織は 30 日以内にデータ主体の要求に従わなければなりません。リクエストをより管理しやすくするために、組織は、対象者がデータにアクセスし、変更を加え、その使用を制限できるセルフサービス ポータルを構築できます。ポータルには、対象者の身元を確認する方法を含める必要があります。 GDPR では、要求者が本人であることを確認する義務が組織に課されています。

自動化された意思決定とプロファイリング 

データ主体は自動処理に関して特別な権利を持っています。具体的には、組織はユーザーの同意なしに自動化を使用して重要な意思決定を行うことはできません。ユーザーは、自動化された決定に異議を唱え、人間による決定のレビューを要求する権利を有します。 

組織はセルフサービス ポータルを使用して、データ主体が自動化された決定に異議を唱える方法を提供できます。企業は、必要に応じて人間のレビュー担当者を任命する準備も整えておく必要があります。 

データ可搬性 

データ主体は自分のデータを希望する場所に転送する権利を有しており、組織はそれらの転送を促進する必要があります。 

ユーザーが転送を簡単にリクエストできるようにすることに加えて、組織はデータを共有可能な形式で保存する必要があります。独自の形式を使用すると、転送が困難になり、ユーザーの権利が妨げられる可能性があります。 

データ主体の権利の完全なリストについては、 GDPR 準拠ページを参照.

情報セキュリティ対策の展開

GDPR では、組織がシステムの脆弱性を解消し、不正アクセスや違法使用を防ぐために合理的なデータ保護措置を講じることを義務付けています。 GDPR は特定の措置を義務付けていませんが、組織には技術的管理と組織的管理の両方が必要であると明記されています。

技術的なセキュリティ管理には、ソフトウェア、ハードウェア、およびその他のテクノロジー ツールが含まれます。 SIEM & データ損失防止ソリューション。 GDPR は暗号化と仮名化を強く奨励しているため、組織は特にこれらの制御を実装する必要があるかもしれません。 

組織的な対策には、GDPR ルールに関する従業員のトレーニングや正式な導入などのプロセスが含まれます。 データガバナンス ポリシー。 

GDPR はまた、企業に対し、設計およびデフォルトでデータ保護の原則を採用するよう指示しています。 「設計上」とは、企業が最初からデータ プライバシーをシステムやプロセスに組み込む必要があることを意味します。 「デフォルト」とは、システムのデフォルト設定がユーザーのプライバシーを最大限に維持する設定であることを意味します。 

IBMのデータ・セキュリティーおよび保護ソリューションがハイブリッド・クラウド全体でデータを保護し、コンプライアンス要件を簡素化する方法を学びましょう。

GDPR 準拠が重要な理由 

欧州経済領域 (EEA) での活動を希望する組織は、GPDR に準拠する必要があります。コンプライアンス違反は重大な結果を招く可能性があります。最も重大な違反には、最大 20,000,000 万ユーロ、または組織の前年度の全世界収益の 4% のいずれか高い方の罰金が科せられる場合があります。

だけど データコンプライアンス 結果を回避するだけではありません。メリットもあります。 GDPR に準拠することで組織は世界最大の市場の 1 つにアクセスできるようになりますが、GDPR の原則によりデータ セキュリティ対策を大幅に強化できます。組織は、より多くのデータ侵害を発生前に阻止できるため、平均コストを回避できます。 侵害ごとに 4.45 万米ドル。

GDPR への準拠は、企業の評判を高め、消費者との信頼を築くこともできます。一般に人々は、次のような組織とビジネスを行うことを好みます。 顧客データを有意義に保護する.

GDPR は、他の地域でも同様のデータ保護法を制定するきっかけとなりました。 カリフォルニア州消費者プライバシー法 インドのデジタル個人データ保護法。 GDPR はこれらの法律の中で最も厳格な法律の 1 つとみなされているため、GDPR に準拠することで、組織は他の規制にも準拠することができます。

最後に、企業が GDPR に違反した場合、ある程度のコンプライアンスを示すことで影響を和らげることができます。規制機関は既存の要素などを考慮します サイバーセキュリティ管理 罰則を決定する際には監督当局と協力する。

IBM Guardium データ保護を詳しく見る