5月25日から GDPRが実装されてしばらく経っていますが、この連載ではGDPRとITガバナンスに関して説明をしてきました。今回はその4回目となります。

ーーーーーー

＜ITガバナンスの観点からのGDPR対応に必要になる活動＞

１．GDPR対応のガバナンス体制を見直し、roles and responsibilities（R&R）を見直す

2.　データ処理業務に関する詳細な記録を行いモニタリングする

3.　データ保護およびポリシー文書の整備と適切な管理

4.　リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う

5.　個人情報保護を適切に行うための施策を実施する

6.　従業員の教育とアウェアネス

7.　必要な場合、データ保護オフィサーを任命する

8.　データ処理業務に関する詳細な記録を行いモニタリングする

ーーーーーー

前回までは1から3までをご説明差し上げました。

今回は

4.　リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う

に関して解説します。

Data protection impact assessments (DPIAs)とは何か？

DPIAというのはプロジェクトやサービス運用においてデータ保護のリスクを洗い出し、分析を行うことでリスクを最小限にする手助けになる手法のことです。

この活動はGDPRにおいて企業の説明責任の中心となるもので、きちんと行わればGDPRのデータ保護義務に十分に対応することが可能です。

しかしながら、この評価を行ってもリスクを完全に除去できるわけではありません。あくまでリスクを最小化するだけであって、リスクのレベルを知ることが必要です。

また、企業の担当者がしておかなければいけないことは、DPIAが適用されるケースと適用されないケースがあることです。 

これははGDPR の第35条で定義されています。

第35条は適用されるケースを以下のように定義します。

・特定の個人情報が処理されることが計画されており特にその処理が新しい技術を使う場合

・データ処理の状況、 範囲、意味合い、目的が考慮される

・データの処理が 、処理対象者の権利と自由に対して高い確率で影響を及ぼす可能性がある

これは大まかにいってリスクが高い場合です。 その詳細は、EUのガイドラインで定義されています。

DPIA guidelines of the Article 29 Working Party

またリスクの評価は「単一のビジネスプロセス」において行われる点に注意が必要です。

以下はDPIAが適用される例です。

・プロセスの例：

病院が病院内の情報システムを用いて患者の遺伝情報や健康情報を処理する。

ー　データには重要性の高い個人情報が含まれている

ー　データは価値があると判断されるカテゴリーである

ー　データ処理が大規模である

・プロセスの例：

高速道路に置いてカメラを使用して運転者の行動を監視する。監視者はインテリジェントビデオ分析を使用して自動車は1台1台を監視することが可能であり、ナンバープレートは自動的に認識される。

ー　組織化された監視

ー　画期的な技術を組織のソリューションとして使用する

・プロセスの例：

企業が従業員の行動を組織的に監視する。監視行動には従業員のPCや企業内での活動を含む。

ー　組織化された監視

ー　データは価値があると判断されるカテゴリーである

以下は適用されない場合の例です

・プロセスの例：

医師個人や医療従事者、もしくは弁護士が、患者や顧客の個人情報を処理する。

ー　データには重要性の高い個人情報が含まれている

・プロセスの例：

雑誌がメーリングリストを使用して購読者にデイリーダイジェストを送信する。

ー　大規模データが処理される

このように適用される例と適用されない例を見ると分かりますが、重要性の高いデータを取り扱っていても処理数が少なかったり、また組織的に大規模なデータ処理を行うのでない場合は、リスクが低いと判断されDPIAは適用されません。

公的機関における納税者やサービス利用者のデータ処理や公的な場の冠水といった活動の場合は適用される可能性が高くなりますが、例えば中小企業がごく少数の顧客のデータを取り扱う場合は適用されない可能性が高くなります。

次回はDPIAについての追加説明です。