5月25日から欧州ではGDPRが施行されていますが、GDPRはITガバナンスにも大きな影響を及ぼします。

GDPRは、企業が顧客や従業員の個人情報を適切に管理し、要求があった場合に開示することを義務付けており、また情報漏えい等の事故があった場合のユーザーへの通知が迅速に行われないと莫大な罰金を支払うリスクに晒されます。

ここ20年で実装されたセキュリティ関連の法規では最も厳しいものの一つですので、セキュリティ部門やデータ管理部門が付け焼き刃で対応することでは間に合いません。組織運営の観点、ガバナンスの観点からの対応が必須になります。

以下はITガバナンスの観点からのGDPR対応に必要になる活動です。

１．GDPR対応のガバナンス体制を見直し、roles and responsibilities（R&R）を見直す

2.　データ処理業務に関する詳細な記録を行いモニタリングする

3.　データ保護およびポリシー文書の整備と適切な管理

4.　リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う

5.　個人情報保護を適切に行うための施策を実施する

6.　従業員の教育とアウェアネス

7.　必要な場合、データ保護オフィサーを任命する

１．GDPR対応のガバナンス体制を見直し、roles and responsibilities（R&R）を見直す、については、日本の組織では権限分掌で済ましている所も多いと思うのですが、R&Rはそれよりもさらに詳細な役割分担表になります。

しかし日本組織の問題は、R&Rがはっきりせず、データ保護や個人情報処理業務に関しても、役割どころか作業分担が曖昧になっていることが多く、これはGDPRの要求を考慮した場合、極めてリスクが高い状況と言わざる得ません。

R&Rが明確ではない場合、事故が起きる可能性が高まるだけではなく、開示要求があった場合に、即座に情報を提供できなくなる可能性が高いからです。

またR&Rは、「絵に書いた餅」になることは避けなければなりません。ドキュメントに記載された役割や作業が、想定するターンアラウンド・タイムで実行できるかどうか、現実に近い状況でシミュレーションする必要があります。

これには、各作業のプロセスにいくつのアクションが含まれるか、また、キーアクションポイントは何か、そして、プロセス完了のターンアラウンド・タイムはどの程度かを検証する必要が出てきますので、関連するプロセスすべての見直しが必要になってきます。プロセスを文書化できていない組織の場合は、業務の洗い出しや文書化から始めなければなりません。

次の記事は2以後の説明になります。