5月25日から GDPRが施行されてしばらく経っていますが、この連載ではGDPRとITガバナンスに関して説明をしてきました。今回はその5回目となります。

ーーーーーー

＜ITガバナンスの観点からのGDPR対応に必要になる活動＞

１．GDPR対応のガバナンス体制を再点検し「roles and responsibilities（R&R）」を見直す

2.　データ処理業務に関する詳細な記録を行いモニタリングする

3.　データ保護およびポリシー文書の整備と適切な管理

4.　リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う

5.　個人情報保護を適切に行うための施策について適切に実施する

6.　従業員の教育とアウェアネス

7.　必要な場合、データ保護オフィサーを任命する

ーーーーーー

前回までは1から4までをご説明いたしましたが、今回は5についてです。

5.　個人情報保護を適切に行うための施策について適切に実施する

個人情報保護を適切に行うためには、前回まで説明した1から4以外にも、包括的な意味で、普段の運用で個人情報が適切に保護される施策が実施されているかどうかを精査する必要があります。

まずその手始めとして、ITガバナンス担当者は、必要な部署にヒアリングとドキュメントの収集を行い、以下を可視化する必要があるでしょう。可視化することで、抜けがないかどうかをチェックすることが可能になりますし、これらは事故対策の下地となります。

＜プロセス管理＞

可視化に当たり最も重要なのは、個人情報保護に関わるビジネスプロセスの可視化と状態の精査です。

・個人情報保護施策の責任者は誰か？ また戦略および戦術立案に関与しているのは誰か？ 個人情報保護施策は個人の目標設定に盛り込まれているか？

・既存のビジネスプロセスにおいて、どのプロセスが個人情報を扱っているか？

・それらプロセスはどのような頻度で監査されているか。監査は誰が行っているか？

・プロセスのKPIはどの様に計測されているか？またプロセスのパフォーマンスはどのような状態になっているか？

・プロセスに問題は発見されたか。またプロセス改善は定期的に行われているか？

・これらプロセスではどんな個人情報が扱われているか？

＜情報そのものの取り扱い＞

情報そのものの取り扱い方法の可視化も重要になります。

・個人情報はどの様に収集され、閲覧され、保管され、どのように廃棄されているか？ また保管期限はどうなっているか？

・個人情報保護に使用されるITツールはどのようなものか？ ツールの選定は誰が行っているか？

＜要員管理＞

ITガバナンスの観点から見た場合、個人情報保護に関わる要員管理も重要課題です。

特にGDPRの場合は、欧州で就労する拠点以外にも規制が適用されますので、社内だけではなく、協力会社や海外の拠点、個人コンサルタントなどの外部人材がどの様な形で業務に関わっているか、契約周りはきちんと整理されているかを把握しておくことがが重要です。

・個人情報を扱う人々は誰か？（所属チーム/雇用形態/ジョブタイトル/責任/レポートライン）

・個人情報を扱う人々の雇用契約書や職務記述書は個人情報を取り扱う業務を反映しているか？

・個人情報を扱う人々はどんなトレーニングを受けているか？ トレーニングは誰が提供し、成熟度の精査は、誰がどの様に行っているか？

・個人情報を扱う人々は、要求される誓約書全てにサインをしているか？
・個人情報を扱う人々に対して、誓約書違反があった場合のペナルティは十分説明されているか？

＜フィードバックと向上＞

個人情報保護は、規制の変化や、依存するビジネスプロセスの変化により、それらに対応ることが必要になります。また、業務向上のために、フィードバックや過去の事故例を取りまとめて学びに活かす体制も重要です。

・個人情報保護の問題点に関する提案はどの様に収集されているか？

・個人情報保護に関連する事故はどの様に報告されているか？ またそれらは誰に公開されているか？

・過去個人情報保護に関する事故はどの程度発生しているか？

・事故発生後のルートコーズ分析とレッスンズラーンド、情報公開および事後トレーニングのプロセスは整備されているか？

・個人情報保護施策に関して、本社、グローバルの個人情報保護指針やガイドライン、内規の読み合わせは定期的に行われているか？ 乖離があった場合、誰がどこに対して報告することになっているか？ 乖離修正はどの様なプロセスで行われるか？