GDPR(EU一般データ保護規制)の適用期限が過ぎました。しかし、いまだ多くの企業がGDPRの適用を進めている状況ではありますが、この規制に関しては疑問点も数多く残っています。
この規則を適用しない場合は厳罰が科されます。GDPRが非適用の場合には、売上高の最大4%または2,000万ユーロの罰金となります。加えて、EU規制当局によると、GDPR適用に際し「クラウド」は適用除外にならないとされます。
GDPR(EU一般データ保護規制)とは?
GDPRとは、端的に言えばデータ保護規則のことです。
この規制は欧州連合(EU)域内居住者のデータに適用されます。サービス提供地域を問わず、EU居住者に関わるデータを保存・処理する企業は、GDPRの適用が求められます。つまり日本企業であってもEU居住者のデータを保存する企業は全て対象ということです。
この適用対象は、当該個人に関連する全ての情報で、プライベート、仕事、公人としての生活などは問いません。さらに、データのある場所にもとらわれません。誰のデータであるかが問題で、その意味では包括的な規則と言えます。
※ GDPRに関するユーザーの権利や要求に関してはこちらをご確認ください。
GDPRが適用されているユーザーの権利と要求事項
デザインとデフォルトによるデータ保護
企業は、製品・サービスの事業プロセスを開発する際にデータ保護の設計をしなくてはなりません。つまり設計段階からライフサイクル全体を通して、企業はデータ保護を自社の業務処理および事業に組み込む必要があります。
こうした前向きのアプローチもしくは事前にデータ保護やプライバシー問題を考慮するのは目新しい手法ではありません。GDPRによって何が変わるのか、それは法律による要件になったということなのです。
アクセス権
EU市民が要請すれば、自身の個人データならびにそのデータ処理の方法についての情報にアクセスできます。自身のデータにアクセスしたい個人は、書面もしくは口頭でデータ主体のアクセス要求(SAR)を提出することができます。提出を受けた企業は1か月以内に対応しなくてはなりません。
消去権
「忘れられる権利」として知られる消去権とは、GDPRの下でEU市民に認められている権利であり、いかなる理由によっても自身に関連する個人データの消去を求めることができます。ここでも書面もしくは口頭で要求を提出すると、提出を受けた企業は1か月以内に対応しなくてはなりません。
データポータビリティの権利
この権利により、EU居住者は誰でも、ある電子処理システムから別のシステムに個人データを移行させることができます。この権利は、データ統制者による妨げを受けることがありません。
[RELATED_POSTS]Oracle ERP CloudによるGDPR適用への貢献
Oracleでは、企業が適用プロセスを効率化するのに役立つツールを提供しています。企業がポリシーと手続きを定義付けすると、Oracle ERP Cloudにあるモダンな機能を活用してこのプロセスを実行することができます。
以下はその実践例です:リスクマネジメントとデータマネジメント
リスクマネジメント
「デザインとデフォルトによるデータ保護」とは、GDPRの下で、企業はシステムにあるデータを保護するために適切なプロセスと技術を配置していることを示さなくてはならないことを意味しています。
Oracle ERP CloudのOracle Risk Management Cloudは、企業がデータセキュリティ、コンプライアンス、ガバナンスを遵守する機能を提供します。これは、財務などビジネスプロセスの実施に際し活用します。Oracle Risk Management Cloudは、詳細レベルでセキュリティを評価・分析する機能を提供し、個人データが関わる取引を監視します。また、ユーザーアクセス権限とコンプライアンスを管理するための包括的な機能を提供します。
関連記事:コンプライアンスとガバナンスってどう違う?基礎から解説
機能の一例:
- 完全なデータ保護の影響評価
- 従業員による個人データアクセスの認証およびモニター
- 個人データへのアクセスと利用に関するSAR対応
- 個人データ漏洩その他セキュリティ関連インシデントの迅速なレポーティング
データマネジメント
データマネジメントは複雑に進化を続けているプロセスです。
企業は多くの場合、顧客との会話、通話、スプレッドシート、eメールのほか、多くの別システムによりデータを手動で管理しています。これにより情報のサイロ化、データインテグリティの問題、GDPR適用ができない事態を招いています。
Oracle ERP CloudのOracle Enterprise Data Management Cloudでは、管理可能で必要なときに利用できるフォーマットにデータをパッケージ化することで、GDPR適用のプロセスを企業が自動化するのに役立っています。
Oracle Enterprise Data Management Cloudは、個人データの真の単一ソースを企業に提供しています。つまり、専用システムの内部で集中させているのです。データが様々なシステムや保管場所にあったり、特定のデータがどこにあるか分からなかったりする場合、規則の適用は極めて困難になるでしょう。データがどこにあるか分からなければ、個人データの使用方法を消去、移行、報告することができないからです。
※本ブログはOracle ERP Cloudブログ:Dane Roberts(Oracle製品ストラテジー、リスクマネジメントクラウド担当)著「How to Reduce Risk and Get In Line with GDPR」の抄訳です。
