個人情報保護に向けた対応サービス(GDPR対応サービス) ブックマークが追加されました
サービス
個人情報保護に向けた対応サービス(GDPR対応サービス)
EU一般データ保護規則(GDPR)への対応
2016年4月、欧州連合は「EU一般データ保護規則」(General Data Protection Regulation:GDPR)を制定しました。GDPRは2018年5月25日に施行され、個人データを収集、処理を行う事業者に対して多くの義務が課されています。また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められています。
GDPRの制定とその影響
求められる対応(例)
- 処理対象の個人データおよびその処理過程を特定する
- 適切な安全対策を実施する
- データ保護責任者(Data Protection Officer)や、欧州における代理人を選任する
- EU域外へのデータ移転にあたり、適切な方法を選択のうえ、それに基づいた運用を行う
- インシデント発生時には、データ主体および監督機関※に通知する
- データ保護影響評価を実施し、必要に応じて監督機関に通知する等
- 事業者がこれらの義務に違反した場合には、2,000万ユーロ、又は前年度の全世界売上の4%のいずれか高い方が制裁金として課せられ、事業に重大な影響を及ぼすおそれがあります。
※監督機関とは、各国の個人データ保護い関する取組みを推進する機関です。具体的には、英国のICOやフランスのCNiLなどが該当します。
EU一般データ保護規則(GDPR)への対応 ブロウシュア
サービスの概要
デロイト トーマツ グループは、現状把握を行った上で、GDPRにおける要求事項との差異(GAP)を分析し、必要な対策の策定・実施を支援し、管理態勢とシステムの整備を図ります。具体的には、GAP分析の結果、社内ルールの改訂やデータ保護責任者の選任を含む管理態勢の整備、個人データを処理するシステムに対する安全対策を行うこと等を含みます。また、新たな技術を使ったデータ処理や、個人の権利および自由に対して重大な影響を及ぼすおそれのあるデータ処理について「データ保護影響評価」の実施が求められています。これらデータ保護影響評価とその結果に基づく改善を支援します。
GDPRへの対応に向けた管理態勢・システムの整備
文書レビューやヒアリングにより管理態勢やシステムの整備状況を把握し、GDPRの要求事項との差異(GAP)を分析します。GAP分析の結果に基づき必要な対応策を明確にし、それらの整備を支援します。
データ保護影響評価
新たな技術を使ったデータ処理や、個人の権利および自由に対して重大な影響を及ぼすおそれのあるデータ処理を行う場合には、事前にデータ保護影響評価を実施します。評価の結果、リスクの高い処理については監督機関への通知が求められます。また、結果に基づき、リスクを低減するための組織的および技術的な安全対策を行います。
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
