original image: © Andreas Berheide - Fotolia.com
ITガバナンスとGDPR:域外へのデータ送信
IT Governance and GDPR - sending data outside of EU
2018.05.30
Updated by Mayumi Tanimoto
on May 30, 2018, 11:17 am JST 
Follow us on
前回の記事ではGDPRではITガバナンスの見直しも必要になると説明しましたが、今回は前回指摘した対応項目の2を解説します。
<ITガバナンスの観点からのGDPR対応に必要になる活動>
1.GDPR対応のガバナンス体制を見直し、roles and responsibilities(R&R)を見直す
2. データ処理業務に関する詳細な記録を行いモニタリングする
3. データ保護およびポリシー文書の整備と適切な管理
4. リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う
5. 個人情報保護を適切に行うための施策を実施する
6. 従業員の教育とアウェアネス
7. 必要な場合、データ保護オフィサーを任命する
2. データ処理業務に関する詳細な記録を行いモニタリングする
2に関しては、すでに業務体制が存在している組織も多いと思うのですが、GDPRに関しては特に注意が必要なのが「個人データのEU域外への送信」です。
域外へのデータ送信は、以下の条件の場合だけに認められるので、データ処理プロセスにおいて、条件内であるかどうかチェックする体制と権限の分掌、処理ログの適切な記録が重要になります。
(1)The EU-US Privacy Shield
これは米国に商用目的にデータを送信する場合のEUと米国の間の合意で、受信元の企業のセキュリティ管理は強固なものである必要があります。また米政府のデータアクセスに対してセーフガーディングが適用されます。合意は毎年見直しが実施されます。
(2)送信先の国のデータ保護がEUが規定するレベルに達していること
これはEU規制2016/679で定義されているもので、送信先の国は個人情報やプライバシーに関してEUが妥当と認める基準の国内法や国際条約を締結していなければなりません。
現時点で「妥当」とされている国は、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガンジー島、マン島、ニュージーランド、スイス、ウルグアイ、米国で、日本と韓国は現在協議中です。
(3)多国籍企業内でのデータの送信(Binding corporate rules)
多国籍企業がグループ企業内で、国境を超えてデータを送信する場合には認められますが、以下を満たす必要があります。
•プライバシー原則を満たしている(透明性、データの質、セキュリティ等)
• 効果的なツールを使用する(監査、教育訓練、苦情受付システム等)
• グループ企業がルールに拘束されることを確約する
ただしEUにより承認されるには、企業はデータ保護業務等を監督する「the lead authority」に対して執筆したルールを提出します。「the lead authority」は内容をレビューし、各国のEuropean data protection authorities (DPAs)に展開して承認される必要があります。
DPAsは各国の企業活動におけるデータ保護等を監督する公的機関で、Binding corporate rulesを申請する場合は、その企業の欧州本社やデータ送受信が発生するEU加盟国で申請することになります。
(4)model contractsの使用
EUが規定するmodel contractsを満たす場合は送信が可能になります。以下は詳細へのリンクです。
(5)航空機の乗客名簿、テロリストの資金追跡プログラム
航空機の乗客情報は、EUが二国間条約を締結している国には送信が可能です。現在、米国、カナダ、オーストラリアと締結されています。
またEUは、テロリストの資金追跡プログラムの送信に関して米国と条約を締結しています。
3以降は、次回以降に解説します。
NTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。
