🔰はじめての方へ
GDPR対策とは結局なにをすればいいのでしょうか?
これからご紹介する4つの手順を守り段階的に対策を進めることで無駄のない確実なコンプライアンスを実現することができます。
GDPRコンプライアンス遵守までの流れ
GDPR対策のパートナーとしてEnobyteをお選びいただいたお客さまには、以下の4ステップでご案内しています。
Step1:
ギャップ分析による課題の洗い出し
まずは、GDPRの要件と自社のコンプライアンスの状況を照らし合わせ、課題を見つけるところから始めましょう。
Enobyteのアセスメントを利用すれば、簡単にはじめの一歩を踏み出すことができます。
オンライン上で、取り扱うデータの種類、データ取り扱いの範囲、規模および目的、実施している措置等に関する200-300問程度の質問に回答していただきます。
いただいた回答をもとにリスク分析を行い、認定データ保護オフィサー(DPO)が項目ごとに今後の導入・実践・運用に役立つ推奨事項、ISO 27001など業界標準のベストプラクティスに基づくアドバイスを含むアセスメントレポートをお渡しします。
Step2:
組織体制の整備
Step1で課題の洗い出しをした後は、組織体制の整備に関する項目を先にクリアしていきましょう。
GDPR第32条「技術的及び組織的措置」で求められている「組織的措置」をはじめに実装するということです。
組織的措置を始めるために、まず各組織の役割と責任を明確にしておきましょう。
役割と責任が明らかになったら、「社内」と「社外」の2つに大きく分けて取り組んでいきます。
社外(顧客や取引先)とのインタラクション:
- (データ保護オフィサー(DPO)を選任する場合)所轄のデータ保護監督当局へDPO登録
- ウェブサイトのプライバシーポリシー及びクッキーポリシー作成・公開
- アプリケーションやプロジェクト等、各々に応じたプライバシーポリシー作成・提供
- 欧州代理人またはDPOの連絡先をウェブサイト上で公開
社内(従業員)でのインタラクション:
- 必要文書の作成(例:取扱い活動の記録(GDPR第30条)、企業の抱えるリスクレベルや業界ごとの基準に応じたガイドラインおよびポリシー等)
- 従業員の意思向上のためのトレーニング実施
- 必要文書を管理・保管するためのマネジメントシステムの導入
Step3:
技術的な対策の実装
組織的措置で基盤を固めた後は、いよいよ「技術的及び組織的措置」の「技術的措置」に入ります。
コンプライアンス(法令遵守)だけではプライバシーの保護は実現できないという視点から、GDPRは「データ保護バイデザイン(設計の段階からプライバシー保護を前提としてビジネスを組み立てること)」及び「データ保護バイデフォルト(データ取扱いの目的達成に必要最小限なものを初期設定とすること)」の実装を要求しています。
技術的措置は、取り扱うデータの種類や量、企業の規模や事業内容によっても異なり、内容もITインフラの整備やベンダー選択等多岐に渡ります。
アセスメントの結果とDPOのアドバイスをもとに、自社のニーズにあったITセキュリティ対策を実装していきましょう。
技術的な対策にお困りのお客さまも、ご安心ください。IT専門家による以下のサービスをご用意しています。
Step4:
継続的なGDPRの運用
GDPR対策は、一度きりの実装で完了するプロジェクトではありません。
絶え間なく巧妙化するサイバー攻撃に伴い、企業に求められるITのスタンダードも進化し続けています。
コンプライアンスの定期的な見直しは業務の質を高め、顧客やパートナー、そして従業員から高い信頼を得るための継続的かつ生きた取り組みです。
例えばGDPRでは、最低でも年に一度従業員のデータ保護トレーニングの実施を義務付けています。