GDPR対応を阻む「認識不足」とは

　今、セキュリティ／リスク管理担当者の最大の関心事は、5月に施行された「一般データ保護規則（General Data Protection Regulation：GDPR）」だろう。事実、ガートナーへの問い合わせは今年に入ってうなぎ上りだ。2018年第1四半期の対応件数は前年同期比で3.5倍を突破し、今なお増加中という。

　既存の「データ保護指令」を上書きする形で施行されたGDPRは、これまでの「各国の法規制整備を求める“指令”」から「EU加盟国に直接適用される“規則”」へと変更された。個人情報の取り扱い方や情報主体である個人の権利に加え、違反時の高額な制裁金の支払い義務が明文化されたことで、EU圏内のみならず、EUと取引のある組織でも対応作業が進むことになった。

　ただし、ガートナーで主席アナリストを務めるアヤル・ティロシュ氏によると、各社の対応にはいくつか気がかりな点があるという。同氏は、「取り組みを概観するとGDPRを誤解している傾向が数多く見受けられる。知識不足で仕方がない面もあるが、これを解消しなければ、適切な対策はできない」と指摘する。

　ティロシュ氏が代表例として挙げるのが、「GDPRはITの問題」「GDPRはPII（Personally Identifiable Information：個人情報）に限った問題」「個人情報の利用に合意を取り付けるのが難しく、対応の近道は制度の抜け穴を探すこと」という3つの誤解だ。

GDPRはITの問題ではない

　まず、最初の誤解「GDPRはITの問題」と考えている企業は多い。しかし、GDPRでは第35条と第36条で「個人情報の体系的かつ広範なプロファイリングを実施したり、データを大規模に処理したりする場合には、個人のプライバシー保護に向けた影響評価プロセスを実施すること」と記載されている。

「ITやIT部門の役割はインパクトの分析支援にとどまる。（個人のプライバシー保護に向けた影響評価プロセスの）判断を主体的に下し、最終的に責任を負うのは人であり組織であることは自明の理だ」（ティロシュ氏）

　また、一般にGDPR対策はCPO（Chief Privacy Officer：最高プライバシー責任者）の主導で実施されるが、取り組みの当事者となるのは、CPOでもITスタッフでもなく、個人情報に関わるあらゆる部門となる。ティロシュ氏は、「たとえば顧客データのマスキングが必要なケースでは、業務に支障が生じない匿名化のレベルは現場でしか判断できない。IT部門に対応を丸投げして済む話ではない」と強調する。

　2つ目の誤解「GDPRが個人情報に限った問題ではない例」としてティロシュ氏が引き合いに出したのが、地図情報である。一見すると地図情報は個人情報とは無縁だが、それがGPSを取り付けた兵士のジョギングデータから作成された秘密基地の情報であればどうなのか。

「どこに何があるかを推察できるこの地図は、当然、軍事機密に該当する。個人情報も同様に考えるべきだ。一見しただけでは個人情報と判別できないものでも、作成の経緯まで遡ることでプライバシーが暴かれ、個人情報になり得ることに留意すべきなのだ」（ティロシュ氏）

　そうしたデータはリスクが思わぬ形で顕在化することも多いとティロシュ氏は力説する。そこで、あらゆる社内データの棚卸を実施したうえで、プライバシーの角度からデータの存在理由を入念に検証する作業が求められるという。そのうえで、発掘した個人情報のうち、不必要なものを確実に消去するのだ。

「データを持たなければリスクは一切発生しない。もし（データを）持つと決めたのならインパクト評価の中で管理法や活用法を入念に確認し、保有する限り監視し続けることでリスクを管理せねばならない」（ティロシュ氏）

【次ページ】GRCやIRMの役割とは？GDPR対応フローを図解