データ保護監査でコンプライアンスを確保

コンテンツ

• どのような対策を講じるべきか？
• データ保護と情報セキュリティの比較
• コンプライアンスのメリット
• 安全側に - DQSによるデータ保護監査で

2018年5月以降、個人データを扱う企業（その数はかなり多い）は、高額な罰金を支払う覚悟をしなければならなくなった。データ漏えいに対する罰則はかなりのものになる可能性がある。そしてこれは、新GDPRの要件に完全に準拠していない場合は常にそうである。さらに、ドイツ連邦データ保護法（BDSG）の新版はGDPRを補足し、実質化するものである。しかし、ここでは至る所で不確実性が支配している：

• そもそも「個人データ」とは何なのか？
• そもそも「個人データ」とは何なのか？
• データ主体」とは誰か？
• 個人データの「自動処理」とは具体的に何を意味するのか？
• データ保護責任者を任命しなければならないのか？

どのような対策を実施しなければならないか

対応すべきデータ保護コンプライアンスに関する質問は枚挙にいとまがない。

規制で使用される用語の定義がFAQリストに掲載されているのは事実です。しかし、これでは個々の企業にとって具体的にどのような意味があるのか、必ずしも明確にはなりません。遅くとも、従業員による必要な（要求されている）措置や義務の実施と遵守が待たれる場合には、例えば、このような疑問に対する正しい答えがなければならない：

• 技術的・組織的対策」とは何か？
• どのような場合に必要なのか？
• 比例性」はどうなのか？
• アクセスや開示の管理」など、GDPRが要求する多くの「管理」についてはどうか？
• データ保護コンプライアンスはどのようにして確保されるのか？

データ保護と情報セキュリティ

いずれにせよ、影響を受ける企業にとって正しいステップは、効果的なデータ保護管理システム データ保護管理システム- 必要であれば、すでに認定された認証も視野に入れながら、個々のニーズに合わせた効果的なデータ保護管理システムを構築することである。

ここでしばしば混同されることがある：データ保護と情報セキュリティは、たとえ重複する部分（たとえば、さまざまな管理措置）があったとしても、二足のわらじを履くようなものである。例えば、ISO 27001に準拠した包括的な情報セキュリティ・マネジメント・システム（ISMS）を構築している企業は、情報セキュリティ・マネジメント・システム（ISMS）の認証を取得することができます。 ISO 27001に準拠した完全包括的な情報セキュリティ・マネジメント・システム（ISMS）を導入している企業は、データ保護に関するトピックをある程度カバーしている。

しかし、ここでも、ギャップ分析を使って、ISMSの有無にかかわらず発見し、解決できるデルタが残っています。

2019年8月に ISO 27701が発行され、情報セキュリティ管理におけるデータ保護の要件が策定された。ISO 27701は、ISO 27001、ISO 27002（情報セキュリティ対策のガイダンス）、ISO 29100（データ保護のフレームワーク）に基づくデータ保護マネジメントシステムを規定している。ISO 27701は、ISO 27001を補完するものです。新規格のみによる認証は不可能である。

データ保護コンプライアンス - メリット

得られるもの

• 対策が必要な領域に関する信頼できる情報
• 隠れた可能性に関する知識
• 適切な対策を実施した後のデータ取り扱いにおける、より安全な行動と法的確実性

DQSによるデータ保護監査で安全面を確保

したがって、データ保護におけるコンプライアンスを目指す企業は、次の2つのことを行う必要があります。すなわち、自社または自社のコンプライアンス担当者をできるだけ早くこのトピックに精通させること、そしてDQSの ような独立機関によるギャップ分析の形で現状を把握することです。

このようなデータ保護監査の焦点は、文書レビューを伴う自己評価である。その後、企業がデータ保護に不可欠な側面に準拠しているかどうかを現場でチェックします。報告書には、対策が必要かどうか、必要な場合はどのような対策が必要かが示されます。