Reading Time: 2 minutes
この記事の所要時間: 約 7分

第7回 ルール決定と文書化(最終回)

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

前回の第6回は「GDPRにおけるIT対策」について説明しました。

今回、第7回は、これまで6回分に渡り検討してきたGDPR対策の内容を規定とし文書にする「ルール決定と文書化」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑩抜粋)」、GDPR運用マニュアル(全文)、GDPRインシデント対応マニュアル(目次)のを文末にてダウンロードいただけます。

1.十分性認定

2019年1月23日に欧州連合は、EU一般データ保護規則(GDPR)の日本に対する十分性認定を付で決定した。

この決定以前は、
・BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)

・SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)
Model contracts for the transfer of personal data to third countries
Standard contractual clauses for data transfers between EU and non-EU countries. 欧州連合
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

標準的契約条項(Standard contractual clauses:SCC)(欧州委員会資料の仮訳)(2018年3月)JETRO
https://www.jetro.go.jp/world/reports/2018/01/8d894f365ea5c3a7.html

・明確な本人同意
等、一定の条件を満たす必要がありました。

2019年1月現在で十分性認定を受けている国は以下の通りです。
アルゼンチン共和国
アンドラ公国
イスラエル国
ウルグアイ東方共和国
英国王室属領ガーンジー
英国王室属領ジャージー
英国王室属領マン島
カナダ
スイス連邦
デンマーク王国自治領フェロー諸島
日本国
ニュージーランド
アメリカ合衆国(※プライバシーシールドに基づく)

日本が十分性認定を受けたことで、EU/EEAから日本への個人データの移転を行うにあたり、原則として拘束的企業準則(BCR)の採択、又は標準契約条項(SCC)の締結は不要となりました。これにより、個人データのEU/EEA及び日本への移転が、よりシンプルかつスムーズに行えることを意味します。ただし、十分性認定は個人データの域外移転のみに関わるものであり、その他のGDPRに定める要件の遵守が必要であることには変わりはございません。

2.運用ルールの検討と文書化

■「運用ルールの検討と文書化」の目的

平時の運用、及び有事のインシデント対応に関する手順書を整備すること。

■「運用ルールの検討と文書化」の方法

既存の個人情報や情報セキュリティ、危機対応やBCP等に関する規程・手順類を確認の上、自社の状況と整合を取りつつ準備を進める。

ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑩抜粋)」、GDPR運用マニュアル(全文)、GDPRインシデント対応マニュアル(目次)を以下よりダウンロードいただけます。

■参考となるガイドライン

・データポータビリティ
EU原文
https://ec.europa.eu/newsroom/document.cfm?doc_id=44099
個人情報保護委員会翻訳
https://www.ppc.go.jp/files/pdf/dataportability_guideline.pdf

・データ保護責任者

EU原文
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048
個人情報保護委員会翻訳
https://www.ppc.go.jp/files/pdf/dpo_guideline.pdf

・主たる監督機関
EU原文
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235

・データ保護影響評価
EU原文
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
個人情報保護委員会仮翻訳
https://www.ppc.go.jp/files/pdf/dpia_guideline.pdf

■Zohoが提供するGDPRに有効なIT対策ツール「ManageEngine」

弊社ゾーホーが提供するGDPRのIT対策を支援するIT運用管理・セキュリティ管理ソフトウェア「ManageEngine」ではGDPRの様々な事項について対策を支援します。提供している製品およびGDPRへの対応について記載しているページを以下に一覧しています。ご参考ください。

・Active DirectoryのID管/ADManager Plus
https://www.manageengine.com/products/ad-manager/gdpr-compliance-tool-for-active-directory.html

・Active Directoryのログ監査/ADAudit Plus
日本語ページ:
https://www.manageengine.jp/products/ADAudit_Plus/features-gdpr.html

英語ページ:
https://www.manageengine.com/products/active-directory-audit/gdpr-compliance-tool.html

・統合ログ管理/EventLog Analyzer

日本語ページ:
https://www.manageengine.jp/products/EventLog_Analyzer/gdpr-compliance-reports.html

英語ページ:
https://www.manageengine.com/products/eventlog/general-data-protection-regulation-gdpr-solution.html?feature

・ITヘルプデスク管理/ServiceDesk Plus
https://www.manageengine.com/products/service-desk/gdpr-service-desk-software.html

・特権ID管理/Password Manager Pro
https://www.manageengine.com/products/passwordmanagerpro/release-notes.html

・サーバーネットワーク統合監視/OpManager
https://www.manageengine.com/network-monitoring/opmanager-gdpr-compliance.html

・サーバーアプリケーション/Applications Manager
https://www.manageengine.com/products/applications_manager/appmanager-gdpr-compliance.html

・ネットワークトラフィック監視/NetFlow Analyzer
http://help.netflowanalyzer.com/distributed-monitoring/whats-new

・クラウド型サーバー監視/Site24x7
https://www.site24x7.com/gdpr.html

・ネットワークコンフィグ管理/Network Configuration Manager
https://www.manageengine.com/network-configuration-manager/release-notes.html

・ファイアウォールログ管理/Firewall Analyzer
https://www.manageengine.com/products/firewall/release-notes.html

「GDPR対策をDIYするブログ」第7回(最終回)は「運用ルールと文書化」について書きました。

今回で「GDPR対策をDIYするブログ」は最終回となります。最後までお読みいただきありがとうございます。

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

【~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑩抜粋)】
ニュートンコンサルティング発行

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ 連載目次
第1回 GDPRの概要と日本における現状
第2回 GDPRへ対応するための作業ステップと事前準備
第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成
第4回 データマッピングおよび処理者へGDPR対応状況の確認
第5回 ギャップ分析と対応策の検討を行う
第6回 GDPRにおけるIT対策
第7回 ルール決定と文書化(最終回)

Tags : GDPR