GDPRリスク対応のアクションプラン:個人データの第三者提供

2018-11-09

欧州連合(EU)の一般データ保護規則(GDPR)が施行され、欧州の個人データを含むデータ処理関連の業務をアウトソーシングする際のリスクが顕著になりました。

第三者へ個人データの取り扱い業務を委託する際にかかるリスク対応のアクションプランについて解説します。

企業を取り巻くGDPRリスクは、より深刻かつ広範に

GDPRでは5つの条文において、旧来のデータ保護指令(1995 EU Directive on Data Protect)には存在しなかった要求が加わりました、あるいは、旧来の要求が強化されました。

  • 第28条 プロセッサー:個人データの処理者(プロセッサー)と個人データの副処理者(以下、サブプロセッサー)は、適切な保護とGDPR遵守の証拠を保全するような、契約上の保護が求められる
  • 第30条 取り扱い活動の記録:プロセッサーに対して、取扱うEU個人データの詳細な台帳を維持することが求められる
  • 第32条 セキュリティ保護の取り扱い:プロセッサーとサブプロセッサーは、EU個人データを保護するための包括的な情報セキュリティ管理策を実装することが求められる
  • 第33条 個人データ侵害の監督機関への通知:プロセッサーはEU個人データ侵害について不当な遅滞なしに、データ管理者(以下、コントローラー)に通知することが求められる
  • 第36条 事前協議:データプロセッサーは、特定の高リスクが存在するデータコントローラーの要請に応じて、データ保護影響評価(Data Protection Impact Assessments, DPIAs)を行うことが求められる

EU個人データを処理するために第三者と契約する企業は、第三者からデータ主体要求の対応支援を得るために、そして、必要に応じてGDPR遵守の証拠を入手するためにも、第三者との契約でサービスレベルを取り決める必要があります。

主要メンバー

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

松浦 大

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

Contact us

Follow us