GDPRが施行されてしばらく立ちますが、対策が進んでいない組織がかなり多いのではないでしょうか。

対策がなかなか進まない理由の一つが、GDPRには100以上の項目があり、一体どこから手を付けるべきなのかわからない、というのがあるように思います。

対策の実施には戦略的な計画立案が必須ですが、ITガバナンスの観点で対策を捉える際に役に立つのがフレームワークの活用です。

今回から数回にわたってITガバナンスのフレームワークである「COBIT5」を使用したGDPR実装について解説します。

適切なITガバナンスが存在するのであれば、GDPR対策は半ば終わっている

ITガバナンスを導入している企業であれば、COBIT5の他に何らかのフレームワークに沿って、IT組織内のキープロセスの成熟度の評価を定期的に実行していると思いますが、GDPRの実装に関しても、すでにITガバナンスでマッピングしているプロセスを、GDPRの要求項目に沿って見直して行くことになります。

適切なITガバナンスが存在するのであれば、GDPR対策は半ば終わっているといっても差し支えないかもしれません。

ただし、単に通常のITバガナンスのプロセスの見直しを行うのではない、GDPRの基本概念を十分理解した上での評価が重要になります。

GDPRの基本概念

合法性、公平性、透明性（Lawfulness, fairness and transparency）
個人情報は合法性、公平性、透明性を保って処理されなければならない

目的の制限（Purpose limitation）
個人情報は明示された目的のみに使用

データの最小化（Data minimization）
個人情報は使用目的に妥当な量を収集

正確性（Accuracy）
個人情報の正確性が保たれなければならない

保存の最小化（Storage limitation）
個人情報は目的に妥当な形でのみ保存

完全性と機密性（Integrity and confidentiality）
個人情報は適切に保護され機密性が保たれる

説明責任（Accountability）
個人情報の管理者はGDPR対応の保証の説明が求められる

さらに、GDPRに関連したプロセスに注力してプロセスそのものに含まれるアクションや、プロセス自体の成熟度を評価する必要があります。