iStock / IconicBestiary
データ保護に変化が訪れます。5月25日、待望の、そして大きな話題を呼んだ一般データ保護規則(GDPR)がヨーロッパ全域で施行されます。
GDPRは過去20年以上で最大のデータ保護法の改正となるが、英国の情報コミッショナーであるエリザベス・デナム氏はこれを完全な「革命」ではなく「進化」と呼んでいる。
英国の現行データ保護法を既に遵守している企業や組織にとって、多くの点は変わりませんが、GDPRではいくつかの新たな義務が課されます。WIREDによる英国におけるGDPRガイドは、こちらをご覧ください。
GDPRについてこれまで聞いたことがない方、またはGDPRの義務への準備にどこから着手すればよいかわからない方のために、簡単な手順をいくつかまとめました。GDPRは複雑な法律であるため、これらの手順は、開始に必要なすべての手順を網羅するものではありません。
1) GDPRについて人々に知ってもらう
デンハム情報コミッショナーは、GDPRに違反した企業や組織に対し、その「認識」を示した場合、より寛大な対応を取ると述べた。これは、意思決定者がGDPRについて認識し、その義務を果たすための措置を講じている場合、ICOが同様の措置を取ったとしても、その組織が罰金を科される可能性が低くなることを意味する。
2) 人々の権利を確認する
GDPRでは、個人の権利が明確に定義されています。8つの権利があり、アクセス権、情報提供を受ける権利、異議申し立て権が含まれます。これらの8つの権利は、主に個人が既に有する権利に基づいていますが、新しい権利もいくつかあります。例えば、データポータビリティの権利などです。企業や組織は、既存の権利を遵守していることを確認し、GDPRの施行に合わせて変更が必要かどうかを判断する必要があります。
3) プライバシー通知を変更する
英国の現行データ保護法(1998年法)では、データ主体から個人情報を収集する際には必ずプライバシー通知を表示することが義務付けられています。プライバシー通知は、データ主体の情報を処理する人物とその理由を通知することを目的としています。
GDPRはプライバシー通知の必要性を拡大します。透明性に関する要件がさらに強化され、企業は公表済みの声明を書き直す必要が生じる可能性が高くなります。つまり、より詳細な内容を含む、より充実したプライバシー通知が必要になります。模擬サンプルはこちらでご覧いただけます。
4) データ侵害に備える
GDPRでは、企業がデータ侵害により個人情報を紛失したりハッキングされたりした場合、人々の権利にリスクがある場合は、地域のデータ保護規制当局に報告しなければならないと規定されている。
これは、組織がデータ侵害を認識してから72時間以内に行う必要があり、英国におけるデータ侵害の報告義務の撤廃につながります。データ侵害によって個人の権利が著しく侵害される場合、影響を受ける人々にもその旨を伝える必要があります。つまり、企業や組織は、データ侵害を精査し、適切に調査するためのプロセスを整備する必要があるということです。
この記事はWIRED UKで最初に公開されました。
