前回は、GDPR(一般データ保護規則)が要求する個人データ管理の根幹となる「同意の管理」と「個人データに対する制御権の保障」について解説しました。
しかし、コンプライアンスの側面だけに目を向けるあまり、企業が目指すべき利益ある成長の継続、そしてそのための顧客体験の改善に逆行することは避けなければなりません。今回はGDPRに準拠するために考慮すべき論点を取り上げた上で、求められるシステム像を考えてみます。
システムはいつも「オーディット・レディ」に
まず、自社で保有している個人データを管理しているシステムは、いつでも監査(audit)に対応できる「オーディット・レディ(audit ready)」な状態で構築することが欠かせなくなりました。複数のデータベースに個人データがばらばらに保管されている、いわゆる「データのサイロ化」が起きている状況では、監査のたびに多大なリソースを消費することとなります。
データのサイロ化を打破するだけでなく、
- 単一のレポジトリでの個人データの管理
- 個々のデータ主体単位での、同意の履歴や個人データの正確かつ完全なログ保存
- 必要に応じて、権限を有するアドミニストレータが閲覧できる環境
といった項目をクリアすることで、監査への対応を迅速かつ正確にできるようにしていきます。
GDPRは、その違反が認定された場合に課される、最大で「2000万ユーロ(約25億円)」もしくは「前会計年度の全世界年間売上高の4%」のいずれか高い方という制裁金の大きさが話題となっています。ただし実際には、制裁金の裁定が下る前から消費者からの申し立てに基づき、監督当局などが監査のためにサービスを一時的に停止させる、あるいはデータ処理の凍結命令を出すといった可能性があります。