EU一般データ保護規則(GDPR)対応サービスの概要
EU一般データ保護規則(GDPR:General Data Protection Regulation)は、EU(欧州連合)において1995年から適用されている「EUデータ保護指令(95/46/EC)」に替わる新たな法規制として、2018年5月25日に適用開始となった個人情報の保護に関しての法令です。個人データの「処理」と「移転」に関する法的要件を規定しており、違反した際には膨大な罰金が科せられるこのGDPRは、欧州経済領域(EEA)域内でビジネスを行う日本企業も対象となることから、各企業で対応が迫られています。
GDPRの詳細は、リスク管理Naviコラム「日本企業も知らないではすまされない -1年後に迫ったEU個人データ保護法の改正-」を参照ください。
このようなお客様におすすめします
本サービスは、こんなお客様にお勧めします。
- GDPRの対応として日本本社主導、現地拠点と連携しての対応について、具体的に何をすればよいかわからないお客様
- 現在の対応状況がGDPRの要件を十分に満たしているか確認したいお客様
- 現行、現地法人においてデータの流れがどうなっているのか分からないお客様(現地法人から日本のサーバにアクセスしていると思われるがブラックボックス化している)
- 現地法人において、適切なデータ漏洩対策(ITソリューション及びルール整備)がとられていないお客様
- データ主体の権利の尊重※に対応できるようにしたいが、やり方が分からないお客様
※情報権、アクセス権、訂正権、削除権、制限権、データポータビリティの権利、意義権、自動的な意思決定に関する権利
サービスの特長
英国出身のニュートンだからできるサービスの特長は以下の通りです。
- 現行の「EUデータ保護指令(95/46/EC)」対応実績があります
- EU全域の支援が「現地」で実施可能です。現地法人に対するルール定着に向けた研修や、ITシステムの変更・設定もニュートンUKや現地弁護士を通じてきめ細かな支援ができます
- グループ企業のニュートンUKにて現行の「EUデータ保護指令(95/46/EC)」対応実績があります
- 英国、EUそれぞれに現地で対応している弁護士と協力関係を構築済。弊社、ニュートンUK、現地弁護士との三位一体で、最新の情報を元にした支援が可能です
作業ステップ(例)
サービス提供の主な流れは以下の通りです。
step1. 対応状況の把握(4~5週間)
GDPRがビジネスにどれだけ直結しており、どのような義務が発生しているのかを、以下の支援で現状把握します。
- ・勉強会開催によるGDPR知識の習得
-
- ・GDPR該当チェック
- ビジネスにおいてGDPRに対応する必要があるかの該当状況および現在までの対応状況を条文記載と比較
DPO(データ保護責任者)任命の要否を含め、発生する義務を評価
→成果物:GDPR総合チェックシート
- ・データマッピング
- EEAで取得した個人データの処理の目的、種類および量と内容の把握
→成果物:データマッピングシート
step2. ギャップ分析(4~6週間)
GDPR準拠のために発生する義務に対して、取扱い状況が適切かどうかを、以下の支援で分析します。
- ・ギャップ分析
- データの取扱い状況を確認、GDPR準拠レベルとのギャップの洗い出し
→成果物:ギャップ分析シート
- ・ITセキュリティ評価
- データを管理しているシステムのサイバーセキュリティレベルを評価
→成果物:セキュリティ要件評価シート
- ・処理者対応状況調査
- データを預かる処理者への調査票送付やインタビューにより、管理実態を調査
→成果物:処理者調査票
- ・プライバシーポリシー評価
- プライバシーポリシー、クッキーポリシーのGDPR準拠状況を評価
→成果物:プライバシーポリシー評価シート
- ・プライバシー・バイ・デザイン、デフォルトの対応状況評価
- システム構築時、運用時の個人データ取扱い状況を評価
→成果物:プライバシーインパクト評価シート
step3. 対応方針の策定(3~4週間)
GDPR準拠をルール化し、平時の個人データ運用や有事のインシデント対応を決定します。
- ・平時のデータ取扱い決定
- GDPR該当の個人データの取扱い方針、体制、運用方法などを決定し文書化
→成果物:GDPRデータ運用マニュアル
- ・有事の対応決定
- 個人データ漏洩等、インシデント発生時の対応を決定し、文書化
→成果物:インシデント対応マニュアル
step4. 対応策の実施(要相談)
文書化した平時、有事の運用が有効に働くか、演習等を通じて検証します。
- ・演習による実効性確認
-
作成したルールをより実効性のあるものとするため、規程類整備のご支援も可能です。
- ・既存の規程類整備
- ・プライバシーポリシー、クッキーポリシーのGDPR準拠支援
- ・同意書のGDPR準拠支援
ITシステムの改善やその他対応策の実行支援等も提供しております。
- ・対象組織・拠点に対し、特定した具体的な対応施策の展開計画を策定
- ・対応施策を展開し、展開状況のモニタリング、助言等を実施
サービス概要
EU一般データ保護規則(GDPR)対応サービス
概要 |
GDPRへの対応状況について、影響評価を実施してGAPを特定したうえで、必要な対策・改善施策の実施支援を行います。オプションとして、現地法人でのルールや研修の実施、IT関連の設定変更等の実施も可能です。 |
対象企業 |
- EEA※域内に拠点のあるお客様
- EEA域内に出張の予定があるお客様
- EEA域内の顧客にサービスを提供しているお客様
※EEA:European Economic Area(欧州経済領域) |
期間 |
3か月~4か月 |
価格 |
応相談 |
成果物 |
- GDPR評価シート
- GDPR評価結果報告書(推奨対応策等を含む)
|