3 分 2019.03.26
タブレットスクリーンでの分析

GDPRソリューションを有効化する3つの質問

執筆者

EY Global

複数の強みや専門性を兼ね備えるプロフェッショナル集団

3 分 2019.03.26

リソースを表示

データをめぐる顧客の要求に応える効率的なプロセスがなければ、GDPRの順守に向けた作業はさらに増える可能性があります。

データ 保護はかつてない変化の時代を迎えています。最近でも有名企業でデータ流出が起きて注目を集めましたが、顧客・従業員の個人情報を企業が使用し保護する方法について、説明責任の強化を求める傾向はますます強まっています。誰もが自分のデータがどのように使用されるのかを自身で管理したいと考えているのです。一般データ保護規則(GDPR)は、まさにそのために欧州連合(EU)により制定された、最も重要性が高く包括的なデータ保護規則の一つです。

GDPRは350を超える新たな要件を定めており、これを順守しなかった場合、会社の全世界での年間売上高の最大4%、または2,000万ユーロのいずれか高い方の罰金が科せられる可能性があります。
Jatin Rajpal
Senior Manager, IT Advisory Services, Ernst and Young LLP

GDPRの対象はEU内外の企業

GDPRは350を超える新たな要件を定めており、これを順守しなかった場合、会社の全世界での年間売上高の最大4%、または2,000万ユーロのいずれか高い方の罰金が科せられる可能性があります。多くの人が考えているのとは異なり、GDPRはEUに拠点を置く企業に限られず、EUの主体データを取り扱うEU外に拠点を置くあらゆる事業体を対象とします。事実上、欧州で事業を展開するすべての多国籍企業が対象となり、フォーチュン500企業の大部分が含まれることになります。

企業各社はさまざまな要件を順守するため膨大なタスクを抱え、5月25日の期限に向けて全力で対応を続けています。現在、各社の対応レベルはさまざまな段階にあります。法務、人事(HR)、IT、情報セキュリティ、データプライバシー、コンプライアンスなど、社内のさまざまな組織が順守に向けて団結しなければなりません。おおまかなレベルでは、GDPRは以下を義務付けています。

  • データの保存場所と処理方法を把握する
  • 定期的かつ適時に影響評価を行い、データ保護に対するリスクを特定する
  • 定期的な監査、評価、第三者を含むデータプライバシー管理の監視を実行することにより、データのプライバシー・バイ・デザインを実施する
  • 主要な権利(同意、修正、消去などの権利)のリストを、すべての従業員(「データ主体」とも呼ぶ)に提供する
  • 重大なデータ侵害について、検出から72時間以内に各人と当局に通知する

GDPRシナリオの例

GDPRの要件の中でも特に分かりやすく、影響が大きいものとして、データ主体の権利に関する要件が挙げられます。以下のシナリオについて考えてみましょう。

顧客であるJoeさんは、会社のコールセンターに電話して、会社が同氏に関して保有している個人情報について尋ねます。コールセンターの従業員は、コールセンターからJoeさんに提供すべき情報について、ERP、CRM、HRなど各システムを調べてもらうためいくつもの部署に電子メールを送ります。各担当者がその電子メールに返信し、コールセンターの従業員がその情報をまとめてJoeさんに送信します。Joeさんは情報の一部を削除したいと考え、再びコールセンターに電話をかけます。今度は情報を削除する指示をもとに、先ほどのプロセスが繰り返されます。一連の対応はすべて異なるシステム、スプレッドシート、電子メールに記録されているため、一つの対応として監査証跡が残らない可能性があります。

このアプローチは、技術的にはGDPRを順守しているかもしれませんが、効率性、信頼性、監査への備え、拡張可能性を伴うものではありません。企業各社は、自社のシステム、プロセス、ツールがあまりにもサイロ化されていて、手作業への依存度が高く受け身であることを認識しています。しかし、包括的で自動化された、積極的な方法でGDPR要件を順守するソリューションを検討している企業はごくわずかです。

GDPR規則への対応を確認する3つの質問

GDPR規則に対応するための、より堅固で長期的なソリューションに求められる要素を検討するにあたり、ソリューションを提供する企業は以下の3つの質問を考慮する必要があります。

  1. このソリューションのアプローチはどの要件に対応しているか
  2. ソリューションは1つのプラットフォーム上にあるのか、それとも複数か
  3. 導入企業の環境で実行可能か

専用のGDPRソリューションは一見よく見えるかもしれませんが、プライバシーやGDPRのエンドツーエンドの要件に関しては、効果的な管理に必要な機能の深さと幅が不足しています。GDPRの主な要件を踏まえると、優れたエンタープライズサービス管理機能とスケーラビリティで知られるServiceNowなどのプラットフォームが、GDPRの順守を実現するテクノロジー基盤として有効であると言えるでしょう。

サマリー

企業各社は、自社のGDPRシステム、プロセス、ツールがあまりにもサイロ化されていて、手作業への依存度が高く受け身であることを認識しています。しかし、包括的で自動化された、積極的な方法でGDPR要件を順守するソリューションを検討している企業はごくわずかです。

この記事について

執筆者

EY Global

複数の強みや専門性を兼ね備えるプロフェッショナル集団