5月は興味深い月でした。GDPR 発効のまさにその日に Google と Facebook に対して88億ドルの訴訟が発生し、カニエ・ウェストのトランプ大統領支持アナウンスに発する議論が紛糾し、「個人情報保護方針を改訂しました」といった内容のメールが山のように届きました。 これらは何を示しているのでしょうか?憶測が渦巻きながら納得がいく説明が得られなかったカニエの件を除外すれば、世界の企業が GDPR コンプライアンスを徹底しなければならないことを示唆しているのは明らかです。
一般データ保護規則(GDPR)は、2018年5月25日に発効しました。これは、世界中の企業が、収集する EU 在籍者の個人データを取り扱う方法をより慎重なものにして、情報の安全性とプライバシーを確保する必要があることを意味します。引き続き、GDPR のデータ保護の原則を掘り下げていきたいと思います。
連載の最初のブログでは、データ保護の第一原則である「正当で、規則に準じた、明確(トランスペアレント)なデータ処理」について説明し、2回目のブログでデータ保護の第二原則と第三原則、「目的の限定」と「必要な最小限データ」を取り上げました。
今回は、それに続く第四原則と第五原則、「正確性」と「保持期間」について考察していきたいと思います。
個人データの正確性確保
GDPR の第四原則(第5条1項(d))によれば、収集または処理される個人データは、「正確かつ必要に応じて最新の状態に保たれている」必要があります。さらに、「不正確な個人データ」が「遅滞なく消去または修正される」ことを確実にするために、「あらゆる妥当なステップ」がとられなければならないと規定されています。
ちょっと回りくどい言い方ですが、要は、おかしなデータは保持できず、データが正確なことを確認するのはデータ管理者の責任だということです。正確でないデータは消去する必要があります。たとえば、選挙運動で前回の選挙活動期間に使ったデータを利用する場合、それらのデータが正確で最新であるかを確認する責任が生じます。
これは、GDPR の主要な規定である、データ主体の訂正権と削除権の両方に関係があります。訂正権は、データ主体である個人に、間違った情報を修正し、不完全な情報を完全なものにする権利を規定します。削除権、いわゆる忘れらる権利の下では、データ主体は自分のデータを遅延なく削除するように要求できます。
GDPR は、データの正確性の原則について詳細には触れていません。正確性を保証するための「あらゆる妥当なステップ」が具体的に何を意味するのかの説明はなされていません。しかし、次のことだけは確かです。古くて怪しげなデータを更新したり削除したりしないでいると、厳しく罰せられる可能性があります。これは、次の原則につながっていきます。
個人データ保管に関する制限
原則3を思い出してみてください。後でまた何かの役に立つかもしれないからということで、すべてのデータを保存しておく行為はGDPRに準拠していない点に言及しました。どうも GDPR を文書にまとめた人たちは「保管制限の原則」が気に入ったようで、データ保護の原則全体の基準にしているふしがあります。
第五原則(第5条1項(e))によれば、個人データは、「処理される目的のために必要であるより長期にわたって、データ主体の識別を可能にする形式で保持」されることはできません。個人データがより長期間保存される場合は、データが「公共の利益、科学的または歴史的研究目的、あるいは統計の目的で、アーカイブ用にのみ処理される」ことを証明しなければなりません。
基本的には、収集の目的であるタスクに必要な期間だけしかデータを保持することはできません。データの使用可能期間はずっと長いでしょうが、保管し続けたり、他の目的のために再利用(または他者に販売)したりすることはできません。これは GDPR の基本的権利であり、フェイスブックとケンブリッジ・アナリティカが関与した最近のデータ侵害事件のような面倒な問題を阻止します。
この原則を遵守するためには保持期間を義務づけるポリシーが必要で、そのポリシーは、コンプライアンス監査のために文書化する必要があります。また、データは定期的にチェックして、必要がなくなったら消去しなければなりません。
マネージド・ファイル・トランスファーがコンプライアンス徹底を支援
企業が EU 在籍者の個人情報を収集、保管、処理、または送信する場合は、GDPR、一般データ保護規則が適用されます。厳しいこの規制に違反しないようにするには、個人データの送信に関わるシステム、ユーザー認証、および暗号化技術が安全で GDPR に準拠していることをしっかり確認する必要があります。
MOVEit のような信頼できるマネージド・ファイル・トランスファー・ソリューションは、企業の GDPR コンプライアンス徹底を様々な方法で支援します。
MOVEit を使用すると、自動ファイル整合性チェックによりファイルが変更されていないことを検証できるため、不正確なデータに起因する GDPR 違反を犯すリスクが避けられます。
また、MOVEit の組み込みスケジューラを使用して、データの転送前後に、正確性と有効性の確認や保存期間の検証などのタスクをスケジュールすることもできます。
セキュアなマネージド・ファイル・トランスファーである MOVEit は、転送中と保存中のデータの暗号化、データの整合性チェック、既存のセキュリティシステムとの統合、ファイル転送アクティビティの詳細なログ提供なども行います。
次のブログで、GDPR の7つのデータ保護原則の最後の2つについて述べたいと思いますが、よろしければ、イプスイッチで用意した以下のホワイトペーパーもご参照ください。
また、以下は GDPR の7つの原則の短い紹介ビデオ(日本語、音声なし)です。