GDPR第5条：主要原則と6つのコンプライアンスのベストプラクティス

GDPR第5条とは何か？

GDPR第5条は、EUにおける主要なデータ保護の枠組みである一般データ保護規則（GDPR）の主要原則を定めています。これらの原則は、倫理的かつ合法的な利用を確保するために、組織が個人データをどのように取り扱うべきかを強調しています。

第5条は、組織が個人データを適切に処理するための指針です。第5条は、データ収集プロセスが個人のプライバシーに対するリスクを最小限に抑えることを保証するものです。その原則は、個人データに対する個人の権利を保護し、データ保護をビジネス慣行の中心的な要素とすることを意図しています。

ご参考までに、GDPR第5条の重要な規定を以下に示します：

「個人データは

(a) 情報主体との関係において、合法的、公正かつ透明性のある方法で処理されること（「合法性、公正性および透明性」）；

(b) 特定された、明示的かつ合法的な目的のために収集され、それらの目的と両立しない方法でさらに処理されないこと。公益のための保管目的、科学的または歴史的研究目的、または統計目的のためのさらなる処理は、第89条第1項に従い、当初の目的と両立しないとみなされないこと（「目的の制限」）；

(c) 適切で、関連性があり、かつ、処理目的との関係で必要なものに限定されること（「データの最小化」）；

(d)正確であり、必要な場合は最新に保つこと。処理目的に照らして不正確な個人データが遅滞なく消去または修正されるよう、あらゆる合理的な措置を講じなければならない（「正確性」）；

(e) データ主体の識別が可能な形式で、個人データの処理目的に必要な期間を超えて保存しないこと。ただし、データ主体の権利および自由を保護するために本規則が要求する適切な技術的および組織的措置を実施することを条件として、第89条第1項に従って、公益のための保管目的、科学的または歴史的な研究目的、または統計目的のためにのみ個人データを処理する場合は、個人データをより長期間保存することができる（「保存の制限」）；

(f)適切な技術的または組織的手段を用いて、不正または違法な処理に対する保護、偶発的な損失、破壊または損傷に対する保護を含む、個人情報の適切な安全性を確保する方法で処理されること（「完全性および機密性」）。

サイバーセキュリティにおけるAIの影響について詳しくはこちら：AIサイバーセキュリティ：サイバー脅威からAIシステムを守る。

第5条の主要原則

合法性、公平性、透明性

適法性、公正性、透明性は、個人データの処理方法を規定する相互に関連する原則です：

• 合法性つまり、データ処理活動はGDPRが規定する法的根拠に基づかなければなりません。
• 公平性は、処理されたデータが欺瞞的に使用されたり、個人に危害を加えたりしてはならないことを意味します。
• 透明性とは、データ主体が、自分のデータがどのように使用され、誰が、どのような目的で使用するのかについて完全に知らされ、隠された意図がないことを保証することです。

透明性の原則は、信頼を獲得し維持するために不可欠である。データ管理者は、データ処理活動について明確でアクセス可能な情報を提供しなければならない。これには、収集されるデータの種類、データ収集の目的、および処理方法の詳細が含まれます。また、透明性は監査や規制当局のチェックも容易にします。

目的制限

目的の限定は、個人データが明示された合法的かつ特定された目的のためにのみ収集 されることを要求する。組織は、データ対象者から改めて同意を得ることなく、データが最初に収集された目的から逸脱してはなりません。この原則は、データが個人の権利に反する可能性のある、二次的な無許可の目 的のために使用されることを防止します。

目的制限の実施には、データ利用が宣言された目的に合致していることを確認するた めの定期的なレビューの実施が含まれます。意図した目的に変更があった場合は文書化し、データ対象者に通知し、必要であれば新たな同意を求めるための適切な措置を講じる必要があります。

データの最小化

データの最小化とは、特定の目的に必要なデータのみを収集することです。これは、個人のプライバシーにさらなるリスクをもたらす可能性のある、過剰または無関係な情報を組織が収集することを制限するものです。

この原則は、収集されるデータの範囲を最小限に抑えることで、データ侵害や悪用がもたらす潜在的な損害を軽減することを目的としています。この原則は、プライバシー・バイ・デザイン（privacy by design）およびデフォルト（by default）の概念とリンクしており、データ保護が当初から統合されていることを保証します。

データの最小化を遵守するには、データマッピングと監査を行い、どのデータが必須かを特定する必要があります。組織は、データ収集フォームやプロセスが不必要な情報を取得しないようにしなければなりません。また、一貫したモニタリングと定期的な評価を行い、データ収集を必要最低限に抑えながら、変化するビジネス・ニーズに対応する必要があります。

精度

正確性の原則は、個人データは正確であり、必要な場合には最新の状態に保たれなければならないとしています。組織は、不正確または不完全なデータを速やかに修正する責任を負います。正確性を維持するために、組織は個人データを定期的に更新・検証する仕組みを確立しなければなりません。

正確性を確保するには、検証チェックと不一致報告を含むデータ管理システムを導入する必要があります。組織は、データ対象者が簡単に情報を更新できるようにすることで、これを促進することができます。定期的な監査とフィードバックのループも、不正確な情報をタイムリーに発見し修正するために不可欠です。

ストレージの制限

保存の制限では、個人データは収集された目的を果たすために必要な期間だけ保存されるべきであると規定されています。この期間が過ぎると、データは個人のプライバシーを保護するために削除または匿名化されなければなりません。この原則は、不正アクセスや誤用など、データの長期保存に伴うリスクを最小限に抑えることを目的としています。

保存制限を遵守するためには、データの種類ごとに保存期間を定めた明確なデータ保存ポリシーを確立する必要があります。保存データを定期的に見直し、不要になった情報を削除または匿名化することが極めて重要です。自動化されたシステムは、このプロセスを合理化し、一貫した保存スケジュールの実施を容易にします。

完全性と機密性

完全性と機密性の原則は、個人データはその安全性を確保する方法で処理されなければならないことを義務づけています。完全性とはデータの正確性と完全性を意味し、機密性とは不正アクセスや侵害からデータを保護することを意味します。組織は、暗号化、アクセス制御、定期的なセキュリティ評価など、データを保護するための技術的および組織的な対策を実施しなければなりません。

完全性と機密性を確保するために、組織はセキュリティ・プロトコルを確立し、スタッフに対して定期的なトレーニングを実施すべきです。これには、セキュリティのベストプラクティスに対する意識を高め、潜在的な脅威に対抗するためにシステムやソフトウェアを常に最新の状態に保つことも含まれます。また、セキュリティ侵害に迅速に対処するために、インシデント対応計画を策定する必要があります。

GDPR第5条遵守のための6つのベストプラクティス

1.各処理活動の法的根拠の特定と文書化

GDPR第5条を遵守するために、組織は各データ処理活動の合法的な法的根拠を特定し、文書化する必要があります。これには、データ収集の目的を評価し、それが同意、契約、法的義務、重要な利益、公的任務、正当な利益など、GDPRで指定された法的根拠のいずれかに合致することを確認する必要があります。

効果的な実施には、データ処理活動の法的根拠を概説する詳細な記録を維持するこ とが必要です。これらの記録は容易にアクセスできるようにし、データ処理目的または法的要件 の変更を反映するために必要に応じて更新します。

2.データ処理活動に関する明確で利用しやすい情報を提供する。

組織は、GDPR第5条を確実に遵守するために、データ処理活動に関する明確でアクセス可能な情報を提供しなければなりません。明確なコミュニケーションは信頼の構築に役立ち、データ主体が自らの権利と組織の責任を認識することを確実にします。

効果的なコミュニケーションは、プライバシー通知、利用規約、およびデータ処理の詳細を強調するユーザーフレンドリーなインターフェイスによって達成することができます。これらは平易な言葉で書かれ、組織のウェブサイトやその他のコミュニケーション・チャネルを通じて容易にアクセスできるようにすべきです。さらに、組織は、データ処理活動の変更を反映させるために、この情報を定期的に更新すべきです。

3.個人データを正確かつ最新の状態に保つための手順を確立する。

個人データの正確性を確保し、GDPR第5条を遵守するために、組織は最新の情報を維持するための手順を確立すべきです。これには、データの正確性と完全性をチェックするための定期的な監査と検証プロセスの実施が含まれます。組織はまた、データ主体が個人情報を容易に更新または修正できる仕組みを促進すべきです。

組織は、正確なデータを維持するプロセスを合理化するために、データ検証と不一致報告のための自動化システムを採用することができます。データの正確性の重要性に関する従業員向けの定期的なトレーニングセッションや、情報の更新に関する明確なガイドラインの作成も不可欠です。

4.データ保持方針の策定と実施

GDPRを遵守するためには、データ保持ポリシーの策定と実施が不可欠です。これらのポリシーは、個人データの保持期間を定義し、必要な保持期間を決定するための基準を提供します。指定された期間が終了したら、データを削除するか匿名化する必要があります。適切なデータ保持ポリシーは、データ侵害や不正アクセスなど、データの長期保存に関連するリスクを軽減するのに役立ちます。

組織は、保存データの定期的なレビューと監査を実施し、保存ポリシーの遵守を確認する必要があります。自動化されたシステムを導入することで、保存期間の満了時にデータの削除や匿名化処理をトリガーし、これらのポリシーを一貫して実施することができます。また、データ保持手順を明確に文書化することは、監査や規制当局のレビュー時にコンプライアンスを実証する上で極めて重要です。

5.適切な技術的・組織的セキュリティ対策の実施

GDPR第5条を遵守するため、組織は個人データを保護する適切な技術的および組織的セキュリティ対策を実施しなければなりません。これには、不正アクセスやデータ侵害を防ぐための暗号化、アクセス制御、定期的なセキュリティ評価などが含まれます。

強固なセキュリティ体制を維持するためには、データ保護のベストプラクティスに関する従業員向けの定期的なトレーニングと意識向上プログラムが不可欠です。組織はまた、潜在的な侵害に迅速に対処するために、インシデント対応計画を策定する必要があります。

6.レガシーシステムを見直し、適切なデータ削除を行う。

多くの組織には、現在のGDPR基準に合致しない可能性のある方法で個人データを保存している古いシステムがあります。これらのシステムを徹底的に監査し、不要になった保存データを特定し、安全に削除する手順を確立する必要があります。

適切なデータ削除を確保するためには、バックアップを含むすべてのシステムから、古くなったデータや冗長なデータを永久に削除する仕組みを構築する必要があります。組織は、データ保持ポリシーがすべてのプラットフォームで一貫して適用されるように、自動データ削除プロセスを導入すべきです。定期的な監査と監視を実施し、レガシーシステムが意図したライフサイクルを超えて不注意にデータを保持していないことを確認する必要があります。

7.最低限のデータ収集の重要性についてスタッフを教育する。

GDPRを遵守するためには、データ最小化の重要性について従業員を教育することが極めて重要です。これには、特定の目的に必要なデータのみを収集するという原則について従業員を教育することが含まれます。データ最小化の重要性を理解することで、従業員はどのようなデータを収集すべきかについて十分な情報を得た上で判断できるようになり、過剰なデータ収集に伴うリスクを軽減することができます。

組織は、データ最小化の概念を強化するために、定期的なトレーニング・セッションやワークショップを実施することができます。データ収集に関する明確なガイドラインとベストプラクティスを提供することも、スタッフがこの原則を実行するのに役立ちます。

エクサビームによるGDPR対応

エクサビームは、企業がGDPRの技術的要件と運用要件の両方を満たすことを支援します：

• 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵がデータを見つけアクセスしようとしていることを示す可能性のある異常な行動を特定します。Exabeamの脅威タイムラインは、異常と相関ルールのイベントを組み合わせ、ユーザーやデバイスごとにイベントをグループ化します。
• 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK ^{Ⓡフレームワークは}、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。

可視化とダッシュボード: Exabeamは、GDPRの義務化とデータプライバシー担当者のニーズをサポートするために、コンプライアンスに基づいた明確なGDPRダッシュボードを提供し、簡単にダウンロード、エクスポート、または電子メールで定期的に送信します。