前回は、GDPRにおけるデータのリスク評価であるDPIAについて解説しましたが、今回は、EUにおいて許容されるDPIA評価の内容です。

EUは独自の雛形を発表していませんが、リスク評価は、ARTICLE 29 DATA PROTECTION WORKING PARTYのガイドラインに沿って作成される必要があります。以下はそのガイドラインの詳細です。

ガイドラインの詳細を読むと、リスク管理の実施にあたって、特に

・データ処理の目的が明確であること

・データ処理の必要性の評価

・具体的なリスク管理の対応策

・データアクセスの完全性と遵法性

・脅威への対応

が詳しく述べられる必要があることがわかります。多くの組織におけるセキュリティリスク評価や対応策と比較し、もう一歩踏み込んでデータ処理に特化し、深掘りした形になっています

**********************

■データ処理のプロセスのシステマティックな説明が提供される（第35条７（a）

ー　そのデータ処理の状況、範囲、コンテクスト及び目的が考慮されている（recital
90)
ー　個人情報、情報を受けている人、個人情報が保存される期間が記録されている
ー　データ処理のプロセスの運用の機能的な説明が提供される
ー　個人情報が依存する資産（ハードウエア、ソフトウエア、ネットワーク、人、もしくは紙を運搬するチャネル）が定義されている

ー　承認された倫理規定が適用されていることが考慮されている（35条の8）

■必要性と比例性が評価されている（35条７(b))

ー 　規制に対応した適応手段が決定されている（35条７(d))

ー　対応手段が比例性に貢献しておりデータ処理の必要性が以下の条件によって定義されている

・的確で明示的、 合法な目的（５条(1)(b)
・法律に則ったデータ処理（6条）
・十分かつ適切で Vita の必要性に限定されている（５条(1)(c)

・保存期間が限定的（５条(1)(e))

ー対応手段がデータの分類の権利に貢献している
・データ分類に提供される情報 (12, 13及び14条)

・データアクセスの権利と移動性（15及び20条）
・データの補正と抹消の権利（16、17及び19条）
・データの処理に反対し制限を設ける権利（18、19及び21条）

・データ処理者との関係（28条）
・データの国際配信の際の保護（5章）

・事前の相談（36条）

■データの内容の権利と自由へのリスクが管理されている（35条(c)）

ー　リスクの要因、環境、特殊性および重要性、もしくはより限定的に各リスク（法的な手段のアクセス、希望されない変更、及びデータの消滅）が検討されている (cf. recital 84)
risks sources are taken into account (recital 90);

・リスク対応の資源が公用されている (recital 90)
・データの内容の権利と自由に対する潜在的な影響が定義されており、違法なアクセス、希望しないデータの変更及びデータの消失を想定している
・データの違法なアクセス、希望しない変更およびデータの消滅を起す脅威が定義されている
・脅威の深刻性が想定されている (recital 90)

ー　それらのリスクに対する脅威への対応策が想定されている（35条(7)(d) 及びrecital 90)

■関係者が参加している
ー　DPOに対する助言が想定されている（35条(2))
ー　必要な場合データの内容もしくはデータの代表性が想定されている（35条(9))