一般データ保護規則 (EU 2016/679) は、既存のデータ保護体制に新しい要素と大幅な強化を加えて、2018 年 5 月 25 日に発効しました。
役割と責任
GDPR が施行される前に、DPO を正式に任命する必要があるかどうかを検討したはずです。次の場合は必須です。
- 公的機関または団体である場合
- 主要業務において、大規模かつ定期的かつ体系的な個人監視が必要となる場合、または
- 主な業務は、特殊なカテゴリのデータや犯罪歴や犯罪行為に関連するデータの大規模な処理です。
多くの組織は、正式なDPOを任命することなく、個人または部門がプライバシー活動の責任を負うようにしています。データ保護に関する役割と責任が組織内で十分に周知され、文書化されていることを確実にすることは、コンプライアンス上の重要な要件です。
ROPA – 処理活動の記録
従業員数が250人を超える組織の場合、組織が行う処理活動の文書化はGDPR第30条(英国およびEU)の要件です。また、処理するデータが以下の条件に該当する小規模企業でも、文書化は必須です。
- たまにではない
- 個人の権利と自由に影響を与える可能性が高い。
- 特別なカテゴリのデータ、または犯罪歴や犯罪に関するデータが含まれます。
ROPA には、個人データを含むシステムのデータ マップに加えて、処理の法的根拠、データ処理の目的と方法、データ共有およびデータ保持のポリシーと手順に関する情報が含まれている必要があります。
時間の経過とともに更新される可能性が高いため、このドキュメントを定期的に確認することが重要です。
ROPA のベスト プラクティスについては、ICO からさらに詳しいガイダンス
ポリシーと手順
ポリシーと手順では、プライバシーに関連するさまざまな分野を網羅して、組織内の役割と責任を明確に規定する必要があります。
- データ保護と記録管理
- 侵害やインシデント管理を含む情報セキュリティ
- 個人の権利要求に応じた情報提供(個人情報アクセス要求や情報通知など)
- 新しいシステム、サービス、製品、プロセスが実装されるとき、または既存のものが変更されるときに、問題が考慮され、文書化されることを保証するために、設計およびデフォルトでデータ保護が行われます(プライバシー影響評価)。
- ウェブサイトのプライバシーポリシーは定期的に確認し、最終更新日を明確に表示する必要があります。
サプライヤー管理
お客様に代わってデータを処理する組織との契約を締結することが不可欠です。契約には、以下の内容を含む処理の詳細を明記する必要があります。
- 処理の対象
- 処理期間
- 処理の性質と目的
- 個人データの種類とデータ主体のカテゴリー
- サブプロセッサが使用されている場合。
これらの組織が GDPR を満たす適切な技術的および組織的要件を運用していることを確認するためのデューデリジェンス チェックのフレームワークが必要です。
他の組織と締結した契約およびデータ共有契約を定期的に確認することをお勧めします。
トレーニング
従業員が個人データ処理に関する責任を認識できるようにすることが重要です。導入研修と再研修では、データ保護、潜在的なセキュリティ脅威、そして組織の情報ガバナンスに関するポリシーと体制に関する情報を含める必要があります。研修の完了状況を監視し、記録することは、コンプライアンスを実証する上で重要な要素です。
その他の法律および規制
英国には、データセキュリティに関連する様々な法律や規制があります。具体的には、以下の通りです。
- 2003年のプライバシーおよび電子通信規則(PECR)は、「スパム」やマスマーケティングメールを対象としています。PECRに基づく規則は、随時発行されています。例えば、ウェブサイトにおけるCookieの使用に関する規則や、2016年にはマーケティング電話をかけるすべての人に電話番号の表示を義務付ける規則などが挙げられます。
- 著作権、意匠、特許法 – 2002年に改正され、ソフトウェアの盗難も対象となった
- 適用される IT 標準や規制が他にもある場合があります。たとえば、クレジットカード取引を処理する企業は、 PCI DSS (Payment Card Industry Data Security Standards)。
情報源とリンク
ICO組織向けホームページ
EU GDPR ポータル – www.gdpreu.org
