サービス

EU一般データ保護規則(GDPR)への対応

個人データ保護に向けた対応

2016年4月、欧州連合は「EU一般データ保護規則」(General Data Protection Regulation:GDPR)を制定しました。GDPRは2018年5月25日に施行 される予定で、その際には個人データを収集、処理を行う事業者に対して多くの義務が課されます。 また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められます。

GDPRの制定とその影響

日本企業に求められる対応(例)

  • 処理対象の個人データおよびその処理過程を特定する
  • 適切な安全対策を実施する
  • データ保護責任者(Data Protection Officer)や、欧州における代理人を選任する
  • EU域外へのデータ移転にあたり、適切な方法を選択のうえ、それに基づいた運用を行う
  • インシデント発生時には、データ主体および監督機関*に通知する
  • データ保護影響評価を実施し、必要に応じて監督機関に通知する 等

事業者がこれらの義務に違反した場合には、2,000万ユーロ、又は前年度の全世界売上の4%のいずれか高い方が制裁金として課せられ、事業に重大な影響を及ぼすおそれがあります。

* 監督機関とは、各国の個人データ保護に関する取組みを推進する機関です。具体的には、英国のICOやフランスのCNiLなどが該当します。

サービスの概要

デロイトは、現状把握を行った上で、GDPRにおける要求事項との差異(GAP)を分析し、必要な対策の策定・実施を支援し、管理態勢とシステムの整備を図ります。

具体的には、GAP分析の結果、社内ルールの改訂やデータ保護責任者の選任を含む管理態勢の整備、個人データを処理するシステムに対する安全対策を行うこと等を含みます。

また、新たな技術を使ったデータ処理や、個人の権利および、自由に対して重大な影響を及ぼすおそれのあるデータ処理について「データ保護影響評価」の実施が求められています。これらデータ保護影響評価とその結果に基づく改善を支援します。

GDPRへの対応に向けた管理態勢・システムの整備

文書レビューやヒアリングにより管理態勢やシステムの整備状況を把握し、GDPRの要求事項との差異(GAP)を分析します。GAP分析の結果に基づき必要な対応策を明確にし、それらの整備を支援します。

EU一般データ保護規則(GDPR)への対応

2016年4月、欧州連合は「EU一般データ保護規則」(General Data Protoction Regulation:GDPR)を制定しました。GDPRは2018年5月25日に施行される予定で、その際には個人データを収集、処理を行う事業者に対して多くの義務が課されます。

また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められます。

(860KB, PDF)
サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

サイバーリスクサービスのお問い合わせ

 

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

 

>> オンラインフォームよりお問い合わせを行う <<