個人データ管理高度化のためのITソリューション活用とは

GDPRでは個人データの取り扱いについて記録の作成が義務付けられている。具体的には、個人データ取得時の同意取得内容や、欧州地域外への移転時の契約条項、消去・廃棄時の記録などを保持することなどが必要となる。
個人データを取り扱う各処理において、求められる記録を適正に取得・保持するためには、組織で取り扱っている個人データを棚卸しするだけでなく、それぞれの個人データの処理の流れを洗い出し、取得、保管、利用、委託、消去・廃棄といった処理において、記録をどのように取得するか、取得した記録をどのように保持するかをあらかじめ定めておく必要がある。

GDPRでは、個人データの漏えいなどのインシデントが発生した場合、原則として72時間以内に当局への報告が求められており、「インシデントによってどのような結果が生じ得るか」などを報告する必要がある。個人データ漏えいなどのインシデントによって生じる影響を適切に報告するためには、上記の取得、保管、利用、委託、消去・廃棄といった処理の記録を洗い出し分析する必要がある。仮に、記録が欠損していた場合、影響範囲の特定に時間を要し、報告が遅れる恐れが生じる。そのため、組織は、あらかじめ定めた方法に従い適正に記録を保持しているか、定期的に確認する必要がある。
これまで述べた個人データの処理にかかる記録の取得・保持や、適正に保持されているかの定期的確認を、現場ごとにフォーマットを定めて行う運用をしてしまうと、記録の欠損や記録保持の確認漏れなどが生じやすくなることは想像に難くない。

特に、組織の中でさまざまな事業を展開し多様な個人データを処理していた場合、独自の解釈が生じやすく、記録の取得・保持漏れ、定期的な確認漏れが頻繁に発生する恐れがある。そこで、個人データ処理の記録を保持するデータベースを構築し、一元的に管理することを推奨する。

欧米では、統合的なリスク管理を行うためのツールとして、「ガバナンス・リスク・コンプライアンス（GRC）」ツールの導入が進んでいる。当該ツールでは、各種システムと連携して、組織内のリスク状況を可視化し、マネジメント層がリスク状況をダイレクトに確認できる機能を有する。個人データ処理の記録保持データベースとしても活用できるため、当該ツールを用いることで、個人データの処理にかかる記録の保持や、適正に保持されているかの定期的確認を効率化することが可能となる。

KPMGコンサルティング
パートナー　澤田 智輝

日刊工業新聞　2018年11月2日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。