EU一般データ保護規則(GDPR)への対応

個人データ保護に向けた対応
EU 一般データ保護規則( GDPR )への対応
GDPRの制定とその影響
(General Data Protoction Regulation:GDPR)を制定しました。GDPRは2018年5月25日に施行
2016年4月、欧州連合は「EU一般データ保護規則」
される予定で、その際には個人データを収集、処理を行う事業者に対して多くの義務が課されます。
また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められます。
日本企業に求められる対応(例)
処理対象の個人データおよびその処理過程を特定する
適切な安全対策を実施する
データ保護責任者(Data Protection Officer)や、欧州における代理人を選任する
EU域外へのデータ移転にあたり、適切な方法を選択のうえ、それに基づいた運用を行う
インシデント発生時には、データ主体および監督機関*に通知する
データ保護影響評価を実施し、必要に応じて監督機関に通知する 等
事業者がこれらの義務に違反した場合には、2,000万ユーロ、又は前年度の全世界売上の4%のいずれか高い方が制裁金として課せられ、事業に
重大な影響を及ぼすおそれがあります。
サービスの概要
デロイトは、現状把握を行った上で、GDPRにおける要求事項との差異(GAP)を分析し、必要な対策の策定・実施を支援し、管理態勢とシステムの
整備を図ります。
具体的には、GAP分析の結果、社内ルールの改訂やデータ保護責任者の選任を含む管理態勢の整備、個人データを処理するシステムに対する安全
対策を行うこと等を含みます。
また、新たな技術を使ったデータ処理や、個人の権利および自由に対して重大な影響を及ぼすおそれのあるデータ処理について「データ保護影響
評価」の実施が求められています。これらデータ保護影響評価とその結果に基づく改善を支援します。
管理態勢・システムの整備
原則
権利の尊重
データ保護影響評価
安全対策
組織体制
1. 適法性、公平性および透明性
アクセス権
組織的対策
データ保護責任者の選任
2. 目的の限定
訂正権
技術的対策
欧州における代理人の選任
3. データの限定
削除権
物理的対策
4. 正確性
制限権
人的対策
5. 保管の限定
異議権
6. 完全性と機密性
データポータビリティ権
対応
方針の
検討
自動化された個人の判断
に関する権利
管理態勢
サービス等の検討
データ保護
影響評価
システム
* 監督機関とは、各国の個人データ保護に関する取組みを推進する機関です。具体的には、英国のICOやフランスのCNiLなどが該当します。
GDPRへの対応に向けた管理態勢・システムの整備
文書レビューやヒアリングにより管理態勢やシステムの整備状況を把握し、
GDPRの要求事項との差異(GAP)を分析します。GAP分析の結果に基づき
必要な対応策を明確にし、
それらの整備を支援します。
Step1:現状把握
要求事項
Step2:対応計画の決定
対応状況の把握
優先度 中
対応が
不十分
システム
安全対策
管理態勢
権利の尊重
優先度 高
対応済み
システム
管理態勢
原則
GAP 分析
Step3:対応策の実施
優先度 低
組織体制
データ保護影響評価
新たな技術を使ったデータ処理や、個人の権利および自由に対して重大な影響を及ぼすおそれのあるデータ処理を行う場合には、事前にデータ
保護影響評価を実施します。評価の結果、リスクの高い処理については監督機関への通知が求められます。
また、結果に基づき、リスクを低減するための組織的および技術的な安全対策を行います。
処理状況
管理手段
リスク
深刻度
評価
氏名、生年月日、メール
USBメモリに暗号化し
USB メモリの紛失、盗
データ主体は大量の迷
無視し得るほど小さい
アドレスを用いたダイ
た上で保管
難等による情報漏えい
惑メールを受信するこ
レクトメールの送付
リスク
リ
とにより、不便を被る
リスク
おそれがある。
特定の者のみがアクセ
内部者による疾病予測
データ主体は、重大か
来の疾病予測
ス可能な物理的環境下
データの改変
つ回復し難い健康上の
において、HDD に暗号
化した上で保管
tive
a
r
t
s
illu
被害を受け、最悪死亡
特定の者のみがアクセ
内部者による口座情報
データ主体は、予期せ
ジットカード情報
ス可能な物理的環境化
の不正利用
ぬ金銭の支払を強いら
処理に用いる遺伝デー
タの限定や予測する疾
病を限定することによ
るリスクを低減
のおそれがある。
代金支払のためのクレ
において、
HDDに保管
最大
発生可能性
遺伝データに基づく将
策
減
低
ク
ス
限定的
tive
a
r
t
s
illu
れ、多少の努力を必要
とするおそれがある。
影響度
国内ネットワーク
有限責任監査法人トーマツ
東 京 〒100-0005 東京都千代田区丸の内3-3-1 新東京ビル Tel:03-6213-1112
大 阪 〒541-0042 大阪府大阪市中央区今橋4-1-1 淀屋橋三井ビルディング Tel:06-4560-6021
名古屋 〒450-8530 愛知県名古屋市中村区名駅1-1-1 JPタワー名古屋 Tel:052-565-5511
福 岡 〒810-0001 福岡県福岡市中央区天神1-4-2 エルガーラ Tel:092-751-1517
デロイト トーマツ リスクサービス株式会社
本 社 〒100-0005 東京都千代田区丸の内3-3-1 新東京ビル Tel:03-6213-1300
名古屋 〒450-6337 愛知県名古屋市中村区名駅1-1-1 JPタワー名古屋 Tel:052-565-5950 デロイト トーマツ グループは日本におけるデロイト トウシュ トーマツ リミテッド(英国の法令に基づく保証有限責任会社)のメンバー
デロイト トーマツ ファイナン
ファームおよびそのグループ法人
(有限責任監査法人トーマツ、
デロイト トーマツ コンサルティング合同会社、
の総称です。
デロイト トーマツ グループは日本で
シャルアドバイザリー合同会社、
デロイト トーマツ税理士法人およびDT弁護士法人を含む)
最大級のビジネスプロフェッショナルグループのひとつであり、
各法人がそれぞれの適用法令に従い、
監査、
税務、
法務、
コンサルティング、
ファ
(公認会計士、
税理士、
弁護士、
コンサルタントな
イナンシャルアドバイザリー等を提供しています。
また、
国内約40都市に約8,700名の専門家
ど )を 擁 し 、多 国 籍 企 業 や 主 要 な 日 本 企 業 を ク ラ イ ア ン ト と し て い ま す 。詳 細 は デ ロ イ ト ト ー マ ツ グ ル ー プ W e b サ イ ト
をご覧ください。
(www.deloitte.com/jp)
Deloitte(デロイト)は、監査、コンサルティング、ファイナンシャルアドバイザリーサービス、リスクマネジメント、税務およびこれらに関連する
サービスを、
さまざまな業種にわたる上場・非上場のクライアントに提供しています。
全世界150を超える国・地域のメンバーファームのネット
ワークを通じ、
デロイトは、
高度に複合化されたビジネスに取り組むクライアントに向けて、
深い洞察に基づき、
世界最高水準の陣容をもって高
“Making an impact that matters”
を自らの使命とするデロイトの
品質なサービスをFortune Global 500® の8割の企業に提供しています。
約225,000名の専門家については、
Facebook、LinkedIn、Twitterもご覧ください。
Deloitte(デロイト)とは、英国の法令に基づく保証有限責任会社であるデロイト トウシュ トーマツ リミテッド(“DTTL”)ならびにそのネット
ワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します。
DTTLおよび各メンバーファームはそれぞれ法的
に独立した別個の組織体です。DTTL(または“Deloitte Global”)はクライアントへのサービス提供を行いません。DTTLおよびそのメンバー
ファームについての詳細は www.deloitte.com/jp/about をご覧ください。
本資料は、
デロイト トウシュ トーマツ リミテッド、
そのメンバーファームあるいはそれぞれの関連事業体
(総称して
“デロイトネットワーク”
)
の社員・職員のための、
内部限の資料です。
その趣旨に反して、
本資料を利用して生じることのある損失等に対し、
デロイトネットワークの社員・
職員の責任に帰するものではありません。
© 2016. For information, contact Deloitte Touche Tohmatsu LLC.
2016.06
Member of
Deloitte Touche Tohmatsu Limited