GDPR監査とは何ですか?
GDPR監査は、企業のデータプライバシー管理、リスク管理、ガバナンスの有効性を客観的に評価するために考案された独自の取り組みです。これらは、2018年5月にEU GDPRが開始される前の数ヶ月間に多く実施されました。
2018年から何が変わりましたか?
2018年から、データ・プライバシーの分野では多くの変化があり、また、定期的に変化しています。2018年前後に実施された監査では、2024年のデータプライバシー遵守のために必要または推奨されるいくつかの主要な問題をカバーしていないでしょう。規制当局である英国個人データ保護監督機関(ICO)も、制裁金を課す件数を増やしています。当初は、メタ(12億ユーロ)やグーグル(9000万ユーロ)といった大企業が対象でした。しかし、最近のニュースレターでご説明したように、中小企業も打撃を受けています。
コンプライアンスを遵守するために企業は何をすべきですか?
3CSは、すべての企業が現行の規則を遵守していることを確認するために、定期的な見直しを実施することを強く推奨しています。また、定期的な監査は、データプライバシーとセキュリティに対する企業の取り組みを示すものであり、クライアント、パートナー、利害関係者との間の信頼構築に役立ちます。企業は、監査が実施されたことを証明することで、コンプライアンス違反があった場合、多額の制裁金を課される可能性も低くなりえるでしょう。
企業が考慮すべき点は何ですか?
企業が考慮すべき点は以下の通りです。
- データの国際移転
企業が英国外の管轄区域へ個人データの移転を行っており、その国が英国の十分性認定を受けていない場合、2018年には実施されていなかった新しい法律や規制に従う必要があります。これらの規則はすべての移転に適用され、移転先の国に英国の十分性認定がない場合、移転は移転リスク評価の実施と適切なプライバシーおよびセキュリティ保護措置の評価を条件としてのみ行うことができます。
- クッキーと同意
ウェブサイトからのクッキーの設定が個人データの処理を伴う場合、企業はUK GDPRの要件に準拠していることを確認する必要があります。ウェブサイト運営者は、クッキーを使用することの同意を要求する必要があり、そのような同意は、(クッキーが厳密に必要な場合を除き)自由に与えられ、具体的で、情報に基づいたものでなければなりません。クッキーのコンプライアンスは英国個人データ保護監督機関(ICO)の重要焦点であり、すべてのウェブサイト運営者がクッキーに関連する監査を実施し、ウェブサイトが使用するクッキーとその理由を理解することを推奨しています。
- アドテック
オンライン広告を収益源としている企業にとって、GDPRはさらなる問題を提起しています。アドテック業界は近年、データ保護規制当局からの監視が強化されています。消費者に彼らの興味や関心がある広告を配信するために使用される広告主、プラットフォーム、仲介業者の複雑なエコシステムは、UK GDPRのコンプライアンスにとって地雷原となる可能性があります。英国個人データ保護監督機関(ICO)やその他の規制当局は、同意の証明、正しい法的根拠の使用、透明性の確保について厳格な分析を推奨しており、これらはUK GDPRの重要な側面です。監査によってコンプライアンスのレベルを把握することを強くお勧めします。
- 人工知能
データガバナンスは、世界中でAIサービスの規制に対する新しいアプローチの中心に置かれています。UK GDPRは英国における包括的なプライバシー法であり、すべての業界に関連し、タイプや状況に関係なく、以下のようなすべての個人データに適用されます。
- 高度に規制されたデータ(個人データを含む)の自動処理
- 個人データの使用方法について人々に明確に通知する厳格な要件
- 新しいAI関連技術に対するデータ保護影響評価の実施に関する明確な要件
- 個人データの処理についてデータ主体からの明示的な同意を必要とするプロファイリングを含む、自動化された個人の意思決定
すべてのAIツールにとって、適法性、公平性、透明性は、UK GDPRの下で重要な要件です。企業がAIをより活用するつもりであれば、GDPR監査により基準を現在どのように満たしているかを把握することを強くお勧めします。
- ランサムウェア、サイバー攻撃、およびデータセキュリティ
ランサムウェアは、身代金を支払わない限り被害者の個人データへのアクセスを永久にブロックする、暗号化マルウェアとして知られるソフトウェアの一種です。
英国個人データ保護監督機関(ICO)は、ランサムウェアに関連する具体的なガイダンスを発表し、次のように述べています。
- UK GDPRでは、適切な手段を用いて技術的および組織的管理の有効性を定期的にテストし、評価することが求められています。実施できるテストは1つに限られませんが、すべてのテストは企業のより広範なセキュリティフレームワーク内で検討する必要があります。
- データ管理者がサイバー攻撃/ランサムウェアの対象となった場合、UK GDPRは、その事故が個人データ侵害につながったかどうかを判断する責任を負い、企業は、個人データ侵害に気づいてから72時間以内に、遅滞なく英国個人データ保護監督機関(ICO)に通知することが義務付けられています。
- サイバー攻撃/ランサムウェアに気づいたら、正式なリスク評価を実施する必要があります。
- 個人データのバックアップは、ランサムウェアのリスクを軽減する上で最も重要な管理の一つです。
UK GDPRの重要な原則は、「適切な技術的および組織的措置」によって個人データを安全に処理することであり、これは「セキュリティ原則」です。サイバー攻撃/ランサムウェアのシナリオに適用される場合、強固な技術的および組織的な対策の評価が最新のGDPR監査の重要な部分を構成します。
不十分なITセキュリティによって引き起こされた情報漏えいは、被害を受けた企業が責任を問われる結果となります。2020年、ブリティッシュ・エアウェイズは、サイバー犯罪者が約50万人の顧客のデータを流出させることを可能にした「脆弱なセキュリティ体制」に対して2000万ポンドの罰金を科せられました。当初提案された罰金は1億8300万ポンドでしたが、COVID-19の影響に対する同情から減額されました。今後の罰金額は非常に高額になることが予想されます。
- バイオメトリクス
バイオメトリクス・データとは、自然人の身体的、生理的または行動的特徴に関連する特定の技術処理から生じる個人データであり、顔画像や指紋データ など、その自然人個人の識別を可能にする、または確認するものをいいます。
バイオメトリクス・データは、今日の世界でますます使用されるようになっており、UK GDPRの下では、特別な種類のデータとして知られる個人データの一部と指定されています。UK GDPRは、これらのタイプの個人データが盗難または使用された場合、個人の基本的権利と自由に重大なリスクが生じる可能性があるとして、特別な保護措置を講じることを求めています。
3CSにできること
すべての企業は、UK GDPRに準拠して、情報を収集、処理、保存する際にはより細心の注意を払う必要があります。GDPR監査は、組織のコンプライアンスが適切であることを確認することに役立ちます。
