持続可能なGDPRコンプライアンス体制の実現に向けた5つのステップ

世界中の多くの組織が今、欧州連合（EU）の「一般データ保護規則（General Data Protection Regulation: GDPR）」に注目しています。そうした組織では、EU域内の市民や組織に製品またはサービスを提供する組織は皆、その本拠地がどこにあるかを問わず、GDPRの適用対象となることを理解しています。また、2018年5月の発効日までに遵守を達成できなければ深刻な損害に発展する恐れがあることも知っています。巨額の罰金や法務／訴訟費用の負担が生じるだけでなく、評判の失墜によってビジネスに広範なダメージが及ぶ可能性があります。

GDPRの遵守違反が、多くの組織の将来にとって深刻な脅威となりかねないことは明らかです。その一方で、個人データには計り知れない価値が秘められているのも事実であり、適切に管理すれば、大きな競争優位性を生み出すことも可能です。本稿では、GDPRコンプライアンスを達成すると同時に、最も効果的な方法で競争優位性を確立するためのアプローチとして役立つ5つのステップをご紹介します。

GDPRコンプラアンス体制の整備に向けたアクションプラン

GDPRは、個人データがどのように使用／保管／保護／移動／削除されるかについて把握および決定する権利を全てのEU市民に保証しています。GDPR対応の取り組みが組織全体に影響を及ぼすことは言うまでもありません。データの取得から利用までの全域にわたり、個人データの取り扱い方法をいったん白紙に戻して再考する必要があります。また、既存のデータ管理とデータ・ガバナンスに関するフレームワーク（リンク先のPDFは英語）のままでGDPR要件をサポートできるかどうかを確認することも必要です。

GDPRコンプライアンス体制整備の適切なアプローチ

無理難題に感じられるかもしれませんが、取り組みやすい形でGDPRコンプライアンス体制の整備を進める方法(リンク先は英語)は存在します。以下では、GDPRコンプライアンス体制の整備を円滑に進めるための5つのステップを説明します。

1. アクセス：GDPRコンプライアンスの確保に向けた最初のステップは、利用中の全てのデータソースにアクセスすることです。このステップでは、従来型のデータウェアハウスとHadoopクラスター、構造化データと非構造化データ、あるいは静的データと動的データといったテクノロジーの種類を問わず、組織のデータ・ランドスケープ全体を対象にして、どのような個人データが保管または利用されているかを調査および監査しなければなりません。個人情報に関するリスク・エクスポージャーを評価したり、全社規模で保護ルールを強制適用したりするためには個人データのインベントリが必要であり、その作成にあたっては、全てのデータソースにシームレスにアクセスできることが前提条件となります。GDPRコンプライアンスの取り組みでは、個人データの所在場所について一般的な業務知識や人間の記憶に頼ることは許されません。この規則は組織に対し、どこに個人データが存在するか（または存在しないか）を把握していることの証明を義務付けています。
2. 特定：全てのデータソースにアクセスできることを確認したら、次のステップは、各データソースを調べ、どのような個人データが含まれているかを特定することです。個人データは非構造化フィールドのテキストに埋もれていることも多々あるため、それらのフィールドを解析し、個人データの要素（氏名、電子メールアドレス、マイナンバーや社会保障番号など）を抽出、分類、カタログ化する必要があります。組織が保有するデータの量を考えると、このカタログ化を手作業で行うことは不可能です。また、個人データを解析して分類するだけでなく、データ品質レベルのばらつきに対処することも必要です。このプロセスには、パターン認識、データ品質ルール、標準化などのIT手法が不可欠です。したがって、このステップに必要なITツールを確保すれば、2018年5月までにGDPRコンプライアンスを達成できる確率が大きく向上することになります。
3. 統制：個人データの詳細を把握する取り組みは、個人データとは何かを定義した上で、その認識を組織全体で共有できる仕組みを整備することから始まります。GDPRコンプライアンスを達成するためには、個人情報保護ルールを文書化し、全ての業務部門・事業部門で共有（リンク先の記事は英語）しなければなりません。それにより、個人データの性質、ユーザーグループに割り当てられている権限、データ利用のコンテキストにもとづき、適切な権限を有する担当者のみが個人データにアクセスできる業務環境を確保することが可能になります。これを実現するためには、ガバナンス・モデルの中で役割と定義を確立しなければなりません。それが済めば、ビジネス用語を物理的なデータソースとリンクさせ、生成ポイントから利用ポイントに至るまでのデータリネージを確立することができます。そして以上の結果として、求められるレベルの統制が実現します。
4. 保護：個人データ・インベントリの作成とガバナンス・モデルの確立が済んだら、次は、適正なレベルのデータ保護をセットアップする段階です。GDPRコンプライアンスの目的では、暗号化、仮名化、匿名化という3種類のデータ保護手法を利用できます。このプロセスでは、分析、予測、クエリ、レポーティングなどのデータ利用ニーズに関して妥協を強いることがないような形で、ユーザー権限と利用コンテキストにもとづき適切な手法を適用(リンク先は英語）しなければなりません。データのプライバシーを保護する最も基本的な方法は、不要なデータ列が含まれている場合は即座に削除してしまい、ビジネスプロセスや付加価値分析の実行に不可欠なデータ列のみを保持することです。
5. 監査：GDPRコンプライアンス体制を整備するための最後のステップは監査です。このステップでは、監督機関に対して以下の点を明確に開示するためのレポートを作成できる態勢を整える必要があります。

    – どのような個人データを保有し、それらがどこに所在するかをデータ・ランドスケープ全体にわたって把握していること

    – 個人データの利用に関して本人の同意を取り付けるプロセスを適切に管理していること

    – 個人データの利用方法、利用者、利用目的に関する統制の実効性を証明できること

    – 「忘れられる権利」への対応やデータ侵害／漏洩発生時の通知など、義務事項の実施を管理する適切なプロセスを運用していること

GDPRコンプライアンスから総合リスク管理へ

個人データの利用状況に関する詳細なレポートの用途は、GDPRコンプライアンスだけでありません。このレポートは、個人情報保護に関して組織が抱えているリスク・エクスポージャーの管理にも役立ちます。また、本稿で概要を示した5つのステップは、GDPRコンプライアンスの実現だけなく、組織全体のリスクを一元管理するために必要となるテクノロジー、プロセス、人材を配置する際のガイドとしても役立ちます。さらに、このアプローチで構築したデータ管理体制は、ビジネスの強化、顧客との関係の深化、将来の成長に関してポジティブで多大な可能性を切り開くイノベーションの促進などにも効果します。

著者紹介

オリビエ・ペネル（Olivier Penel）は、幅広い業種のGlobal 1000企業に対する情報管理コンサルティング業務に15年の経験を持つシニア・アドバイザー。IBMやInfosysなどの企業で指導的な役職を歴任し、セールス・イニシアチブやプリセールス／ポストセールス・エンゲージメントのサポートにおいて、データ管理領域とその関連技術の専門家で構成される分散型チームを指揮していました。データ管理のベストプラクティスに関する専門知識を多くの人々と共有するための講演活動などにも取り組んでいます。現在の目標は、データ管理における従来からの手法（データ統合、データ品質、マスターデータ管理、仮想化など）と最新の関連テクノロジー（ビッグデータ、BI、アナリティクス、意思決定管理など）の両方にまたがるデータ・ガバナンスの実現に向けた、総合的な戦略と価値重視型のロードマップの構築を支援することです。