クラウドデータプライバシー対応支援

プライバシー/個人情報保護法規制の現状

2018年5月のEU一般データ保護規則（GDPR）の施行を皮切りに、各国でプライバシー/個人情報保護に関する法規制が成立しており、今後も成立/改正が活発化することが見込まれます。直近動向の一例としては、カリフォルニア州プライバシー権法（CPRA）が2023年1月1日から施行されています。

これらプライバシー/個人情報保護法規制におけるクラウド環境への影響としては、個人データの越境移転に関する制限や、一部の国で定められているローカライゼーション規制（データの国内保存義務）などがあり、クラウドサービス提供側、利用側、それぞれに適用される要求事項を理解し対応することが必要です。

クラウドデータプライバシーへの対応

プライバシー/個人情報保護法規制への対応としては、まず、グローバルクラウド規制対応プログラム策定などにより、クライアント企業様のビジネスにおいて遵守が必須となる法規制を特定します。

そのうえで、本サービスでは、既に対応済のセキュリティ規制、業界規制に関する社内ルール・運用状況、およびクラウド環境のベストプラクティスを考慮しつつ、法規制の要求事項とのGAP分析を実施します。お客様のご要望によっては、分析結果を反映したサンプル規程のご提示なども可能です。

アプローチ概要

標準的には4カ月程度を目安として、以下の流れでプライバシー/個人情報保護法規制の要求事項とのGAP分析等を実施します。対応期間は、組織体制やシステム規模等の諸条件により変動します。

GAP分析におけるポイント（例）

クラウド環境上の個人データの取り扱い状況と、プライバシー/個人情報保護法規制とのGAP分析を行う上でのポイント（例）を以下に示します。

• 法規制における自社の位置付けの確認
  個々のクラウドサービス形態やユースケースにおいて、クラウドサービス提供者側、利用者側に適用される要求事項を判断します。
  
• 個人データの保管場所（リージョン）等の把握
  個人データをどこから取得し、どこに保管され、どこからアクセスされるかを把握し、要求事項に対応できているかアセスメントします。
• 適切なクラウドセキュリティ設定
  クラウドサービス利用者側においては、アカウント管理やセキュリティ脅威の監視など、一般的なセキュリティ対策を施すほか、個人データが意図せず開示されているような状況がないか、定期的に確認する運用が望まれます。

アウトプット（イメージ）

1. チェックシート

ビジネスにおいて遵守が必須となるプライバシー/個人情報保護法規制の要求事項をもとにチェックシートを作成し、整備・運用の状況を文書確認とヒアリングを通してまとめていきます。各項目は状況に応じて副次的なチェック質問を用いて評価されます。

2. 評価結果レポート

評価結果レポートでは、現状把握と今後のアクションプラン策定に繋がるように、発見事項を以下の目次で提示します。