EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題：Gartner Insights Pickup（35）

　組織は、施行時にはGDPRに対応できているように、以下の5つの最優先課題に今から取り組まなければならない。

1．GDPRの下での自社の役割を認識する

　個人データの処理の目的と手段を決定する組織は、基本的に「データ管理者」（data controller）としてGDPRの適用対象となる。そのため、GDPRはEU内の企業だけでなく、EUに商品やサービスを提供するために個人データを処理しているEU外の全組織や、EU内のデータ主体の行動をモニタリングしているEU外の全組織にも適用される。こうした組織は、データ保護当局（DPA）やデータ主体との連絡窓口となる代理人を任命する必要がある。

2．データ保護責任者を置く

　GDPRの下では、多くの組織がデータ保護責任者（DPO）を置く必要がある。特に、公的な機関や団体であるか、定期的かつ体系的なモニタリングを必要とする処理業務に携わっているか、大規模な処理作業を行っている場合に重要だ。「大規模」な処理は、必ずしも数十万のデータ主体のデータ処理を意味するわけではない。GDPRの初期草案は、「任意の12カ月に5000以上のデータ主体のデータ処理を行うこと」として言及していた。

3．全てのデータ処理作業において説明責任を実証する

　新しいデータ処理作業を開始するときは、目的の限定、データの品質、データの関連性について決定しなければならない。これらに関する決定は、既存の処理作業にも適用しなければならない。そうすることで、将来にわたって個人データの処理作業のコンプライアンスを一貫して維持することができる。

　また、組織は個人データの処理作業に関する全ての意思決定について、説明責任と透明性を実証しなければならない。「第三者のサービスプロバイダー、つまりGDPRで規定されている『データ処理者』（data processor）もGDPRを順守しなければならない。このことは組織の供給、変更管理、調達プロセスに影響するだろう」とウィレムセン氏は語る。

　「GDPRの下で説明責任を果たすには、データ主体からの同意を適切に取得し登録しなければならない。『あらかじめチェックされたチェックボックスを提示し、チェックが解除されなければ同意を得たと見なす』というやり方はもう通用しない。組織は、同意と同意の撤回を取得し、文書化する合理的な技術を実装する必要がある」（ウィレムセン氏）

4．データ移転規制に対応する

　GDPRの下では、EU加盟国28カ国とノルウェー、リヒテンシュタイン、アイスランド（欧州経済領域：EEA）にはデータを移転できる。欧州委員会（EC）が「十分な」レベルのデータ保護がなされていると見なした他の11カ国への移転も可能だ。これら以外の地域にデータを移転する場合は、組織は適切な保護措置を講じなければならない。適切な保護措置には、拘束的企業準則（BCR）や標準契約条項（SCC）などがある。SCCはモデル契約条項とも呼ばれる。

5．データ主体の権利行使に備える

　GDPRでは、データ主体の権利が強化されている。これらは忘れられる権利、データポータビリティに関する権利、通知を受ける権利（例えば、データ侵害が発生した場合に通知を受ける権利や、機械学習システムなどの自動的な判断の対象となる場合に説明を受ける権利）などがある。

　「企業がまだ、データ侵害インシデントやデータ主体の権利行使に適切に対処する準備を整えていない場合は、対応策に着手すべき時期に来ている」（ウィレムセン氏）

法的免責：この記事の意見や推奨事項は、法的助言と解釈されるものではない。Gartnerは、組織が法律の適用を受ける場合は、有資格者に法的助言を求めることをお勧めする。

出典：Top 5 Priorities to Prepare for EU GDPR（Smarter with Gartner）