データがどこにあるのかがわからなければ、GDPRに準拠していることを実証できません。この記事では、押さえておくべき10のポイントを紹介します。

 

自社の総売上の4%もの罰金を支払うことに喜びを感じる人などいないとは思いますが、2018年5月25日に発効する、欧州連合 (EU) の新しい一般データ保護規則 (GDPR) に違反したことがわかった企業は、このような罰則を科される可能性があります。すでにこちらの記事を見てご存知かもしれませんが、EUの顧客を持ち、その個人データを保存している組織は、世界中のどこに所在していてもGDPRの対象となります。

GDPRへの準拠は、1つの記事ですべてを語ることができない複雑なトピックであり、それについての書籍が多数執筆されているほか、多くのセミナーが開催されており、あらゆる場所にGDPRのコンサルタントが存在します。

1つ目の課題は、GDPRがハウツーガイドではなく規制であるということです。GDPRは、データ漏洩に気付いてから適切なタイミングで報告を行えなかった場合の罰則について説明するものであり、そうした漏洩を見つける方法を教えるものではありません。

ではここから、4%の罰則を回避できるよう、何をすべきなのかを示すのではなく、何がGDPRに関する計画の間違いにつながる可能性があるのかを見ていきたいと思います。

まず、基本原則として、GDPRの全体的な目的は、市民のプライバシーを保護こと、特に直接的、または間接的に個人を特定する目的で使用される可能性がある、あらゆるデータを保護することにあります。このようなデータとしては、名前、写真、メールアドレス、銀行の詳細情報、ソーシャルネットワークの投稿、医療情報、さらにはコンピューターのIPアドレスといった、あらゆるものが考えられます。こうした目的を達成するために、個人にリスクをもたらす可能性があるデータ漏洩が起きた場合、その事実を72時間以内に関係当局に、またその後早急に影響を受ける個人に公表しなければなりません。

規制の一環として、各個人は、あなたが所有する自分自身に関するデータを把握するとともに、必要に応じてそのデータを修正するか、削除させることができるようにしておく必要があります (誰かがあなたからお金を借りている場合、その人物はあなたにそれに関する記録の削除を求めることはできません)。

前置きはこれくらいにして、具体的に問題を見ていきましょう。

 

プライバシーポリシーとデータ保持ポリシーがGDPRに準拠していない

GDPRで求められている具体的な文言はありませんが、ポリシーはGDPRの全体的な目的を果たすとともに、ビジネスを展開している (米国などの) その他すべての地域の要件を満たしていなければなりません。

これに関しては、法務チームと連携してヨーロッパでビジネスを展開している大手多国籍企業のポリシーを確認し、そうした企業の対応に倣ってください。そうすれば、何が必要なのかを正しく理解できるはずです。

 

実際の慣行がプライバシーポリシーに一致していない

規制に準拠したプライバシーポリシーを作成するのは簡単ですが、企業が実際にポリシーに従うようにするのは困難です。IPアドレスを保存していないと主張するなら、実際に保存していないことを確認しなければなりません。また、ヨーロッパの顧客のデータが米国のサーバーに保存されることは一切ないと主張するなら、本当にそのようなケースがないことを確認しなければなりません。

たとえば、ドイツの顧客の情報をフランクフルトで保存することには 何の問題もありませんが、そのデータをトロントのサーバーにバックアップすると問題になるかもしれません。

 

サードパーティのプロバイダーがGDPRに対する責任を負っていない

フランクフルトに保存している顧客のデータについて考えてみた場合、あなたに代わってデータ分析を行ったり、信用調査を実施したり、画像のサイズを変更したりするサードパーティのプロバイダーがサンフランシスコにいるかもしれません。こうしたプロセスで顧客のデータがEUの外に出ることはないでしょうか。また、EUの外に出ることがなかったとしても、GDPRをはじめとる規制に準拠した方法で保護されているでしょうか。データ漏洩が起きてサプライヤーを訴えることもあるかもしれませんが、訴えを起こしたからといって、顧客のプライバシーを保護するという最も重要な責任がなくなることはありません。

準拠の第一歩として、あなたのデータを扱うことがあるすべてのサードパーティプロバイダーを正確にリストアップし、その情報を最新の状態に維持しなければなりません。データがどこにあるのかがわからなければ、規制に準拠していることを実証できません。

 

クラウドを使用している

どのようなものであっても、クラウドコンピューティングは、特にEUの内外の両方でビジネスを展開している企業にGDPRへの準拠に関する課題をもたらします。クラウドベースのCRMシステムですべての顧客データを保存できますか。クラウドで作成してプロビジョニングした仮想マシンがどこにあるのかを把握していますか。EU内とEU外に1台ずつ、並列システムが必要ではありませんか。

クラウドを使用している場合、大部分の企業が、規制の文言を確認し、知識に基づいて推測を行うことで解決できないほど問題が複雑かもしれないため、コンサルタントが必要になります。ここで4%の罰則のことを思い出してください。クラウドは悪いものではありませんが、GDPRに関して言えば、クラウドサービスを自社の要件に確実に対応させなければなりません。

 

データが一元化されていない

1つのデータベースで顧客の居住地がスペインのセビリアになっており、もう1つがトリアナだった場合、どちらが正しいのでしょうか。また、顧客の名前のつづりがいくつかあり、1つがアクセント記号付き、もう1つが記号なしだったり、いくつかの電話番号が登録されており、固定電話なのか、携帯電話なのか、または今使われていない番号なのかがわからなかったりといったケースもあります。

どのようなデータであるのかが定かでなければ、顧客が自身のデータを確認できるようにするのは困難であり、信頼できる一元化された顧客記録がなければ、すぐに対策を講じなければなりません。もちろん、買収や合併を経て残ったものが含まれる場合もある、多数の部署を抱える大規模な企業では、本当に難しいことなのはわかっていますが、そのような問題は解決が必要です。

 

顧客にデータの確認方法を示していない

GDPRでは、収集された自身のデータを確認できる権利が顧客に与えられますが、どのデータを開示しなければならないのかが曖昧です。また、データを開示する方法も明確にされていませんが、準拠の観点から、必要最低限の対策を講じておくべきです。

私からの推奨事項として、今のところは少なくとも必要最低限のことだけを行っておいてください。

 

顧客にデータの変更、または削除方法を示していない

これについては、さらに注意が必要です。顧客が変更できるようにする必要があるデータはどれですか。たとえば、クレジットを発行するために使用したものである場合、顧客が名前を変更できるようしなければなりませんか。もちろん、(自動引き落としのために使用するような) 銀行の口座情報を削除できるようにする必要はありますが、顧客が別のものを購入しようとした場合、どのようなことが起きるでしょうか。ある顧客が頻繁に商品を購入して返品していたり、商品が届かなかったと主張していたりすることがわかる情報についてはどうでしょうか。

このような難しい問題は、GDPRに明記されてないため、今後各自が最善の解決策を見出さなければなりません。とはいえ、こうした問題は、GDPRで付与される顧客の規制に関する権利に影響を与えるため、今から検討しておく方がよいでしょう。つまり、規制当局に罰則を科せられるまで検討を先延ばしにしてはなりません (顧客にこうした情報を提供しなくても、最大4%の罰金が科されることはありませんが、他の罰則を受けることになる可能性があります)。

 

顧客の個人情報の一部を簡単に確認できなくなった

あなたが持っているCrêpes Suzetteさんに関する個人情報の見直しを依頼してきた人物が、実際にCrêpes Suzetteさんであることを知るには、どうすればよいのでしょうか。これは特に、Suzetteさんがもう同じメールアドレスや携帯電話番号を使用できない場合、難しい問題となる可能性があります。

しかし、そのような問題は解決が必要です。もはやオンラインで解決を図らなければならない理由はなく、こうしたまれな状況では、おそらくSuzetteさんから電話をかけてもらうように頼む必要がありますが、そうすれば、彼女の身元を確認できる別の方法が見つかります。Webフォームやメールを使用したり、電話をかけてもらえるように頼んだり、最寄のオフィスを訪ねたりなど、GDPRに準拠した方法で問題を解決しなければなりません。GDPRのポリシー、手順、およびテクノロジーに関する計画を立てるときは、このような実際に起こり得る事態について考えることが非常に重要です。

 

顧客の情報ポータルで漏洩が起きる可能性がある

顧客のデータの合理化や修正にかなりの労力を投じていたのは過去の話であり、今では顧客がオンラインでデータを照会できる便利なポータルが用意されています。これは素晴らしいことですが、オランダとアイルランドでは、SQLインジェクションの欠陥が見つかり、1万人の顧客のデータが漏洩した事例があります。こうした事態が新聞に掲載されて株価が暴落し、4%の罰則を恐れているうちに仕事を失ってしまうかもしれないため、顧客にポータルを提供することは重要ですが、適切に設計を行ってセキュリティを確保しなければなりません (ヒント: 何度も侵入テストを行います)。

データ漏洩に気付くための適切なツール、プロセス、および手順がない

データ漏洩が起きた場合は、72時間以内にその情報を得なければならず、3日間で漏洩に気付くだけでなく、規制当局に事実を公表する必要があります。

実際のところ、非常に多くの企業がそうした対応に数週間から数か月を要していますが、そのようなことは忘れて、セキュリティツール、アクセス制御の手順、暗号化、ソフトウェアテストなど、あらゆる面で対策を強化することが重要です。長期的に見てGDPRにメリットがあるとすれば、それが全世界の企業にセキュリティ全般、特にデータセキュリティについて真剣に考えさせるものであるという点です。

プライバシーポリシー、データストレージ、そしてあらゆる種類のセキュリティを修正するには、短期間で膨大なコストがかかりますが、そうした対応は必要不可欠です。この記事を読んでいる皆さん、私自身、そしてEUもそのことをわかっています。

_{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもHewlett Packard Enterpriseの見解を反映しているとは限りません。}