2018年5月25日のGDPR運用が間近に迫ってきました。GDPR(General Data Protection Regulation:EU一般データ保護規則)はEUにおける新しい個人情報保護の枠組みであり、EU圏内の個人データの処理と移転に関するルールを定めた規則ですが、日本企業でも次のような場合は、GDPRが適用されます。
- EU圏内に支社、支店、子会社、営業所を有する企業
- 日本からEU圏内の消費者に商品やサービスを販売している企業
- EUから個人情報のデータ処理の受託を行っている企業
GDPRの適用対象となる企業は、GDPRの課す様々なルールを遵守せねばならず、違反すると、巨額な制裁金(例:個人情報のEU域外移転に違反した場合、最大で企業の年間売上高の4%もしくは2,000万ユーロのうち、いずれか高い方)が課されます。知らず知らずのうちに、GDPRに違反するような事態に陥らないためにも、まだ準備を始めていない企業、一部しか準備が済んでいない企業は、すぐにGDPR対策計画を立て、新しい技術の導入の検討に着手しなくてはいけません。
ここでは、GDPRの適用対象の企業がやっておくべき対策の☑チェックリストをご紹介します。
データ保護担当者(DPO)を指名する
GDPRでは、一定の条件に当てはまるデータ管理者・処理者にデータ保護担当者(DPO:Data Protection Officer)の指名を義務付けています。DPOは第三者として管理者および処理者にデータ保護規則の遵守について助言をしたり、規則が遵守されているかどうかを監視したりする役割を担います。
DPOとの協力体制を整える
DPOがその任務を全うするためには、社内での協力体制が欠かせません。特に法務、コンプライアンス、およびITチームが、自社のデータプラクティスを明確かつ包括的に理解していることを確認してください。
まずはデータガバナンスを導入する
個人の権利を危険にさらす可能性があるすべての処理について、プライバシー影響評価(PIA)プロセスを実装する必要があります。さらに、企業には個人情報の収集・使用・編集のプロセスについて常に説明できる状態であること、EU市民が簡単にデータを提供、審査、拒否できるプロセスを備えていることが求められています。
顧客に対して、可能な限りクリアな説明をする
顧客に提供する情報や同意確認は、可能な限り明確かつクリアでなければなりません。ウェブサイトでは、顧客が何をオプト・イン又はオプト・アウトするのかが明確に示されていなくてはいけませんし、顧客が企業にどんなデータを提供しているのか、はっきりとわかるようにする必要があります。
従業員や請負業者のデータアクセスを監視する
データへのアクセスを制限し、プライバシーを確保する厳格な従業員認可ポリシーを確立する必要があります。これらのポリシーは、企業のニーズを反映し、特にデータ転送に関する違反を監視するために適宜、アップデートする必要があります。
もちろん、GDPRの要件を満たすには、上記以外にも数多くの対策を講じておく必要があります。
でも、恐れる必要はありません。GDPRの導入によって、オンラインショッピングはますます活発になるでしょう。つまり、GDPRは私たちのビジネスにとって「脅威」ではなく、「チャンス」なのです。GDPRをしっかり理解し、適切に準備しておけば、これまで以上にスムーズにビジネスを続けていくことができるでしょう。
GDPRについてもっと詳しく知りたい方は、お気軽にCriteoの担当者までご相談ください。