9ステップGDPR対応チェックリスト

GDPRコンプライアンスチェックリストとは、組織が一般データ保護規則（GDPR）へのコンプライアンスを達成するのに役立つ行動のリストである。GDPRは、2018年5月25日に施行された包括的なデータ保護法であり、個人データの管理を強化するために欧州連合（EU）によって制定された。

GDPRは、EU加盟国で事業を行うあらゆる組織に適用され、たとえその組織がEUに拠点を置いていなくても適用されます。GDPRの下では、個人データには、自然人または「データ主体」に関連するあらゆる情報が含まれ、直接的または間接的に個人を特定するために使用することができます。これは、名前、写真、電子メールアドレス、銀行の詳細情報、位置情報、医療情報、コンピュータのIPアドレスなど、あらゆるものが含まれます。

個人データの処理方法については厳格な規定があり、組織は個人データを安全かつ透明性をもって収集、使用、保管しなければならない。同規制は、データへのアクセス、訂正、削除、移転の権利、データ使用に関する同意を撤回する権利など、個人データに関する重要な権利を個人に認めている。

組織のGDPRコンプライアンスを改善するために使用できる簡単な10ステップのチェックリストを提供します。

サイバーセキュリティにおけるAIの影響についてもっと知りたいですか？当社のブログをご覧くださいAIサイバーセキュリティサイバー脅威からAIシステムを守る.

GDPRを遵守する必要があるのは誰か？

GDPRはEUで制定されましたが、その範囲はグローバルです。所在地に関係なく、EU市民の個人データを処理するあらゆる企業はGDPRを遵守しなければならない。これには、EUに拠点を持つ多国籍企業だけでなく、EU居住者に商品やサービスを提供したり、彼らの行動を監視したりする中小企業も含まれる。

さらに、個人データの処理を代行するサードパーティ・サービスを利用している企業にも、その遵守が義務付けられている。つまり、あなたのビジネスが直接個人データを扱っていなくても、クラウドストレージプロバイダー、Eメールマーケティングプラットフォーム、顧客関係管理（CRM）システムなどのサービスを利用している場合は、これらのサービスがGDPRに準拠していることを確認する必要があります。

コンプライアンス違反は、最高2,000万ユーロまたは企業の全世界年間売上高の4％のいずれか高い方の罰金を含む厳しい罰則につながる可能性がある。直接的な罰金に加え、コンプライアンス違反は企業の評判を損ない、顧客の信頼と潜在的なビジネス機会の喪失につながる。したがって、GDPRを理解し遵守することは、物理的であれデジタル的であれ、EU市民とビジネスを行うすべての企業にとって優先事項であるべきだ。

GDPR対応のための9ステップチェックリスト

以下のチェックリストは網羅的なものではありませんが、貴社のビジネスがGDPRに準拠するための最も重要なステップを提供します。

1.ビジネスで収集するすべてのデータを把握する

データ収集の慣行を徹底的に監査し、収集する個人データの種類、収集方法、保存場所、アクセス権を特定する。データが流れるすべてのシステムがどのようなもので、それらが適切に保護されているかを特定することが重要です。また、GDPRの要件が適用される可能性のある特別なデータ・カテゴリーを特定する。

このプロセスでは、組織内のさまざまな部門にまたがって作業し、データを収集するあらゆる多様な方法を検討することになるかもしれない。これは、取引中に収集された顧客データから、従業員データ、ウェブサイトから収集されたデータまで、多岐にわたります。

収集するすべてのデータを特定したら、データ目録またはデータマップに文書化する必要があります。この文書化は、万が一規制当局から求められた場合に、GDPRへの準拠を証明する上で非常に重要になります。

2.データ保護責任者（DPO）の任命

DPOはGDPRコンプライアンスを確保する上で重要な役割です。DPOは、組織内のデータ保護戦略と実施を監督する責任を負います。DPOは、御社と、御社のデータ保護実務を監督する監督当局との間の窓口となります。

GDPRでは、すべての組織にDPOの任命が義務付けられているわけではありません。しかし、規則で義務付けられていなくても、大量の個人データを処理したり、個人を定期的かつ体系的に監視したりするすべての企業で、DPOの要件と義務を理解している企業には、状況が生じた場合にEUのためにその職務を代行する者を確保することが強く推奨される。

3.現行の個人情報保護に関する通知を見直す

プライバシー通知は、GDPRに準拠するために不可欠な要素です。透明性があり、簡単にアクセスでき、顧客が理解できる明確でわかりやすい言葉で書かれていなければなりません。どのようなデータを収集するのか、どのように使用するのか、誰と共有するのか、いつまで保存するつもりなのかについて詳しく説明する必要があります。

GDPRの下では、個人データに関する個人の権利、その権利を行使する方法、監督機関に苦情を申し立てる権利についても通知することが義務付けられています。

4.ユーザーと顧客の権利を理解する

GDPRはEU市民に対し、個人データに関する一定の権利を提供しています。企業としては、これらの権利に対応するための手続きを確実に実施する必要があります。これには以下が含まれます：

• 情報を得る権利
• アクセス権
• 修正する権利
• 消去権（「忘れられる権利）
• 処理を制限する権利
• データ・ポータビリティの権利
• 異議申し立ての権利
• 自動意思決定およびプロファイリングに関する権利

これらの権利を理解し、実装することは難しいかもしれませんが、GDPRに準拠するためには、顧客向けシステムとデータ処理インフラに関連する機能を追加する必要があります。

現在米国では、カリフォルニア州、コロラド州、コネチカット州、ユタ州、バージニア州の5州が、GDPRと類似した包括的な消費者データプライバシー法を制定している。これらの権利とこのコンプライアンス・チェックリストは、これらの地域でも同様に適用される可能性があります。

5.要望書提出手順の見直しと更新

GDPRの下では、個人は自己の個人データにアクセスし、不正確な情報を訂正し、処理に異議を唱え、データの削除またはポータビリティを要求する権利を有する。これらの権利により、企業はこのような要求に対応するための強固な手順を整備する必要があります。

現在の手順が適切でない場合は、見直して更新する時期です。手順が理解しやすく使いやすいものであり、GDPRの規定する1ヶ月という期間内にリクエストに対応できるものであることを確認してください。さらに、個人データへの不正アクセス（GDPR違反につながる可能性がある）を防ぐため、リクエストを行う個人の身元を確認できる手順になっていることを確認してください。

6.既存の同意の更新とダブルオプトイン

GDPRは、企業が個人データを処理する前に、個人から明示的かつ十分な情報を提供された上で同意を得ることを義務付けています。つまり、データを収集する理由とその使用目的について、個人に明確に通知しなければなりません。これには、ウェブサイトフォーム、オフラインマーケティングフォーム、販売フォームなどが含まれます。

既存の同意メカニズムがこれらの要件を満たしていない場合は、それを更新する必要があります。これには、既存のデータ対象者に連絡を取り、GDPR基準を満たす新たな同意を得ることが含まれる場合があります。GDPRの下では、同意はいつでも撤回できるため、手順がこれに対応していることを確認してください。

GDPRにおける同意のもう一つの側面は、「ダブルオプトイン」である。これには、登録後に個人の電子メールアドレスに確認メールを送信することが含まれる。その後、個人はメール内のリンクをクリックして購読を確認する必要があります。このプロセスは、GDPRの要件である同意の明確な証拠となる。

7.データ侵害の検知、報告、調査

GDPRコンプライアンス・チェックリストの第3ステップは、データ侵害を検知、報告、調査するための強固なシステムを構築することです。GDPRの下では、企業はデータ侵害に気づいてから72時間以内に関連当局に報告しなければなりません。また、侵害によって影響を受ける個人の権利、プライバシー、アイデンティティ、自由に対するリスクが高い場合は、過度に遅れることなく通知しなければなりません。

これらの要件に準拠するためには、効果的な違反検知システムを導入する必要があります。また、明確な報告手順と、侵害の影響を調査し緩和するための戦略も必要です。これらの手順が有効であり続けるためには、定期的なテストと更新も不可欠です。

8.データ収集について透明性を保ち、プライバシー慣行を公表する。

GDPRは透明性の原則を強調しており、企業はデータ処理活動についてオープンで誠実であることを求めている。

つまり、データを収集する理由、共有先、保存期間、権利行使の方法について、個人に明確に通知する必要があります。また、個人や企業がデータの変更を要求したり、データの収集を拒否したりする方法も明確にする必要があります。これらの情報はすべて、ウェブサイト上のプライバシー通知など、簡潔で透明性が高く、アクセスしやすい形で提供する必要があります。

9.すべての第三者リスクを定期的に評価する。

御社のビジネスが第三者とデータを共有したり、データ処理に第三者サービスを使用したりする場合は、これらの第三者もGDPRに準拠していることを確認する必要があります。

これには、第三者業者に対する定期的な監査を実施し、GDPRに準拠したデータ処理条項を盛り込んだ契約に更新することが含まれます。また、データが常にどこに保存され、処理されているかを明確に把握し、適切な保護措置が講じられていることを確認する必要があります。最後に、サードパーティのデータ範囲を必ず文書化し、疑わしいサードパーティのリスクをメモしておくこと。

Exabeam によるGDPRセキュリティ管理への対応

Exabeamは、企業が技術的および運用的な要件を満たすのを支援します：

• 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵がデータを発見しアクセスしようとしていることを示す可能性のある異常な行動を特定します。
• 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK ^{Ⓡフレームワークは}、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。

監視とタイムリーな通知:お客様のセキュリティ・エコシステムにおけるインテリジェンスの中心的な役割を果たすだけでなく、Exabeamは、認証情報を含むインシデントの全容に関するフォレンジック情報を提供し、より良いコンプライアンス報告のための正確なレポートを作成します。