Reading Time: 1 minutes
この記事の所要時間: 約 7分

第5回 ギャップ分析と対応策の検討を行う

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。
前回の第4回は「データマッピングおよび処理者へGDPR対応状況の確認」について説明しました。

第5回は「ギャップ分析と対応策の検討を行う」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。

1. ギャップ分析

■「ギャップ分析」の目的

前回データマッピングの結果や処理者へのアンケート調査などの結果から、GDPRに準拠するために対応が不足している箇所を特定し、対策を検討する材料とする。

■「ギャップ分析」の方法

ギャップ分析の方法は以下のようなものがあります。

・データマッピングの結果を基にGDPRの要求事項とのギャップを特定する。
・処理者調査票の結果からギャップを特定する。
・ITシステムに特化したセキュリティ対応状況を確認する。
・GPDRの要求事項と照らし合わせて対応有無を確認する。

■「ギャップ分析」にて主に確認すべき事項

EEA域内の個人データを扱う対象データに関して、データマッピングの結果において、例えば、潜在顧客を集めるためのメールマガジンを対象にした場合に、以下のような事項についてそれぞれ、対応が十分なのか、不十分なのか、対応を予定しているのか(それが実施される時期はいつか)などについて確認を進めていきます。集めるデータによって、オペレーションやプロセスが変わる場合にはデータ毎に確認を進める必要があります。

・個人データの取得取扱い

‑ 個人データはあらかじめ利用目的を説明し、書面等、記録が残る形でデータ本体の同意を得ているか?
‑ 目的を説明し、その目的以外の使用をしていないか、必要以上の情報を取得していないか?
‑ クッキー情報を取得し、マーケティング等に活用している場合、その利用目的を通知し同意を得ているか?
‑ 16歳以下のデータが含まれている場合、保護責任者等の同意/許可を得ているか?
‑ 健康に関するデータなど特別な種類のデータ等を扱っている場合、データ主体の同意、契約、法の下のもとに実施しているか?
‑ 同意を取付ける文書は分かりやすく、容易にアクセス出来るようになっているか?
‑ 同意を取付ける文書には、社名、取扱い目的、委託/第三者提供の有無、保存期間等が記述されているか?
‑ 取得した個人データを正確に入力・修正・削除する仕組みとなっているか 個人データの取扱い責任者/取扱い者が限定されているか?
‑ 決められた保管期間に基づいて保管・削除しているか?

・データ主体による権利行使

‑ データ主体からのデータの提供・訂正・削除等の依頼に1か月を目安に対応出来るか?
‑ 個人データをプロファイリングなど自動化した手段で処理している場合、データ主体の同意等のもとに実施しているか?

・個人データの外務委託/共同利用

‑ 取扱いを外部に委託している場合、個人データ保護条項を反映した契約を取り交わしているか?
‑ 取扱いが再委託されている場合、再委託先での個人データ保護を委託先に確実にさせているか?
‑ 個人データを共同利用している場合、お互いの役割・義務などを取り決めているか?

・個人データ取扱いの記録

‑ 個人データ取扱いにおける記録(データ種類、開示先、移転先など)は保持出来ているか?
‑ データ取扱に関する記録を委託先/再委託先にも管理させているか?

・個人データの移転

‑ EEA[域内データを域外に移転している場合、標準データ保護条項(SCC)のもとに実施しているか?

・個人データの保護

‑ 個人データを漏洩・破壊等から保護するための安全管理策が担保されているか?

特にこの「個人データの保護」の項目については、情報システムセキュリティ要件を詳細に評価するのが好ましく、ISMSやPCIDSSなど他のセキュリティコンプライアンス要件を参考にしながら進めるなどが方法として考えられます。GDPR講座の参加者には、ニュートン・コンサルティング社より、アメリカ国立標準技術研究所(NIST)が発行するCyber Security Framework(CSF)に基づいたアセスメントツールを提供してもらえます。

その他、GDPRの要求事項の対訳版(文末でダウンロードいただけます。)を参照し、要求事項への対応有無について総合的なギャップを洗い出すことも並行して行いたい事項です。

GDPR講座では、その際に特に注意してチェックすべきポイント、以下の条文をピックアップしています。講座に参加すると、効率的にそれらチェックが可能となるツールが提供されます。

・個人データの同意と取扱い
7-10条

・データ主体の権利
13-22条

・管理者及び取扱者の一般的義務
24-30条

・個人データの取扱い保護
32-34条

・データ保護影響評価及び事前協議
35-36条

・データ保護責任者(DPO)
37-39条

・第三国又は国際機関への個人データ移転
46条

■ギャップに対するリスクの定量的評価

GDPRの基本思想としてリスクベースドアプローチを推奨しています。
対応要件に対するギャップの把握と共に、リスクを定量評価し、対策の優先順位付けへのインプットが行えるようにしたいです。リスクとはプライバシーの侵害度と理解してください。

GDPRにおける個人データ取扱のプライバシー侵害度評価においては、

プライバシー侵害度評価スコア =
データの機微性による評価 × データの量による評価 × 発生しやすさの評価

※発生しやすさの評価は、脅威のリスク(外部からの攻撃や内部犯行などのデータ漏洩や破壊、紛失)と脆弱性リスク(例えばセキュリティホールなどへの対策が取られているか)により求められると考えます。評価のスコアリングの例としては以下のようなものがありますので参考にしてください。

・データの機微性による評価

-GDPRにおける特別カテゴリーのデータを含む場合 10点加算
(人種・種族的出身、政治的見解、宗教や哲学的信念、労働組合の組合員資格、遺伝子データ、生体データ、健康や性生活、性的嗜好などを含む個人データ)
-データ主体の自宅が特定できるデータがあるか 7点加算
-携帯電話番号、クレジットカード、年金番号、銀行口座などの情報を含むか 5点加算

・データ量による評価

-データ件数が10,000件以上 10点加算
-データ件数が5,000件以上 5点加算
-データ件数が50件以上 2点加算

・発生のしやすさの評価

-脅威リスクの加点基準
いつ発生してもおかしくない ランクA
年に1-2回程度 3点加算 ランクB
上記未満 ランクC

-脆弱性リスクの加点
脅威に対する防御を行っていない ランクA
脅威に対する必要な防御を部分的に行っている ランクB
脅威に対する必要な防御を全て行っている ランクC

発生可能性加点表
脅威ランク
A B C
脆弱性ランク A 3 2 1
B 2 1 1
C 1 1 1

加点基準はあくまでも例となりますが、これら評点の合計値などから、対策優先順位を決めていくリスクベースドアプローチが必要となります。

2. 処理者向け調査票に基づくギャップ特定

■「処理者向け調査票に基づくギャップ特定」の目的

処理者向け調査票の結果からギャップ特定を行い、GPDR要件へ不足している箇所を特定し、対策を検討する材料とします。

■「処理者向け調査票に基づくギャップ特定」の実施方法

処理者向け調査票の回答結果に基づくギャップ特定の実施方法は以下のようなものがあります。

・前回提供した処理者向け調査票フォーマットへの記入が済んだ調査票を収集集計する。
・集計結果としてGDPRに準拠する予定の無い処理者を特定する。
・特定後自社内において、GDPR準拠予定の無い処理者各々について、別の事業者への利用を検討するか、GDPRへの準拠を促すか方針を決定する。

3.対策の検討

前項1および2のギャップ分析、処理者向け調査票に基づくギャップ特定、からギャップの存在およびリスクの定量的評価としてのプライバシー侵害度評価スコアなどを総合的に勘案し、対策の優先順位およびスケジュールを設定します。

GDPRはリスクの度合いに応じた対策の優先順位付け、即ち、リスクベースドアプローチを基本思想としています。

「GDPR対策をDIYするブログ」第5回は「ギャップ分析と対応策の検討を行う」について書きました。GDPR要求事項一覧(日英対訳併記版)、ならびに、ここまでのステップについて、ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑨抜粋)」の資料を以下よりダウンロードいただけます。

次回GDPR対策をDIYするブログ第6回では、GDPR要件に対するギャップへの対応として大きな役割を果たす、「GDPRにおけるIT対策」についてご説明します。

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

【~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑨抜粋)】
ニュートンコンサルティング発行

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ 連載目次
第1回 GDPRの概要と日本における現状
第2回 GDPRへ対応するための作業ステップと事前準備
第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成
第4回 データマッピングおよび処理者へGDPR対応状況の確認
第5回 ギャップ分析と対応策の検討を行う(今回)
第6回 GDPRにおけるIT対策
第7回 ルール決定と文書化(最終回)

Tags : GDPR