GDPR への対応: 適切なプロセスの準備と実装

執筆者: Eric Tierling (Senior Program Manager – Azure Compliance & Privacy, Microsoft Azure Global Ecosystem)

このポストは、12 月 18 日に投稿された GDPR How-to: Get organized and implement the right processes の翻訳です。

欧州連合 (EU) は、データのプライバシー保護に関する法律である一般データ保護規則 (GDPR) を制定しました。この法律への取り組みは 1 回限りの対応で済むものではなく、継続的に行う必要があります。GDPR は 2018 年 5 月 25 日に発効し、個人が個人データを管理する権限が拡大されます。また、個人データの収集、処理、分析を行う企業は、GDPR により新しい義務が課されます。GDPR に準拠するために適切なプロセスを実装し組織を変化させる作業は簡単なことではありませんが、マイクロソフトがこれを支援します。GDPR は 10 の章、99 の条文、160 の要件で構成された複雑な法律で、これをすべて実装することは容易ではありません。このため、マイクロソフトは非常に詳細なガイドを作成しました。

先日、Microsoft France の同僚が英語とフランス語で「GDPR - 適切なプロセスの準備と実装」という詳細な実装ガイドを公開しました。このガイドでは、お客様の企業で GDPR コンプライアンス プログラムを作成し実施する方法についてお伝えしています。この中では、Azure などのマイクロソフト クラウド サービスを使用し、計画、実施、確認、対策 (PDCA) のアプローチによって GDPR のコンプライアンスを達成するために必要な手順が説明されています (下図参照)。

図 1: GDPR に関連して実施される主な活動を主要なカテゴリにグループ化して示した概要図

このガイドでは、たとえば、データ保護影響評価 (DPIA) を作成するタイミングと方法、どのような承認プロセスを実装すればよいか、どのようなガバナンス モデルを適用すればよいか、データ保護責任者 (DPO) の役割などが、GDPR のコンテキストに応じて説明されています。

Microsoft トラスト センターの Microsoft Azure の GDPR 対応に関する Web ページ (英語) では、GDPR への準拠の準備に必要なことへの対応に Azure がどのように役立つかについて詳細に説明していますので、こちらもお読みください。