GDPR(一般データ保護規則)

イントラリンクスでは、GDPR(一般データ保護規則)(EU規則2016/679)の施行による業務上の影響を理解できるよう支援し、個人データ漏えいのリスクを最小限に抑えるためのツールを提供しています。

2018年5月25日からヨーロッパ全域でGDPRの遵守が義務化され、さまざまな新しい課題が企業にもたらされました。 この規則の概要は以下のとおりです。

  1. 欧州経済領域(EEA)の居住者の個人情報を所有する世界中のすべての企業に適用されます。

  2. GDPR規則の対象はEEA居住者で、すべての条項はその保護を目的としています。

  3. GDPRは企業が遵守しなければならない原則を規定するもので、現地の監督機関も、企業が規則を遵守しているかどうかだけでなく、GDPRの精神を積極的に展開しようとしているかも見ようとしています。

  4. 規則違反に対しては罰金が定められており、企業の年間総売上の4%または2,000万ユーロのうち、いずれか高い方の金額が課せられます。

  5. 個人情報の漏えいが発覚した場合は、遅滞なく72時間以内に地方監督機関へ届け出ることが義務付けられています。データ主体にも個人情報の漏えいを遅滞なく伝達しなければなりません。

  6. 企業がGDPR違反のリスクを緩和するには、組織全体で万全のセキュリティ管理体制を敷く必要があります。例えば、情報漏えいのリスクを緩和できるテクノロジーとして、暗号化が具体的に明記されています。

  7. 企業は、情報処理業務の代行を依頼するテクノロジーベンダーを選定する際、適正な評価を実施したことを実証できるようになる必要があります。つまり、個人情報を扱うデータ処理は、プライバシーとセキュリティへの取り組みを立証できるベンダーにしか委託してはならないということです。

  8. GDPRでは、拘束的企業準則(BCR)および標準契約条項(SCC)などの「適切なレベルの保護」規定の代替として、EEAの外へ個人情報を移転する場合の所定の手続きを具体的に明記しています。

GDPRの目的は、新しい情報セキュリティ規定を設けることでEEA居住者を保護することです。EEA居住者の個人情報を取り扱う企業は、個人情報の継続的なセキュリティおよび移転を保証するためのポリシーと手順を定めることで、今回新たに強化されたデータ主体の権利を保護しなければなりません。また、GDPRでは、企業全体のすべてのシステムおよびプロセスに「プライバシーバイデザイン」アプローチを採用することも義務付けています。さらに、個人情報のデータ処理業務に使用するシステムについては、自社であろうと第三者であろうと透明性を維持する必要があります。

イントラリンクスのソリューション

イントラリンクスでは、ほとんどの企業が国内においてGDPR規則を遵守できると考えています。しかし事業の性質は日々変化しており、やりとりされるデータのコンテンツには根本的にビジネスリスクが伴います。イントラリンクスは、お客様のそうしたビジネスリスクを緩和するお手伝いをします。

イントラリンクスには、規制の多い産業において長きに渡り価値の高いコンテンツを保護してきた実績があり、年間50件を超えるクライアント監査に合格することで、データプライバシーフレームワークの強度を実証し続けてきました。また、イントラリンクスは、GDPRをはじめとする厳しい規制に準拠してお客様のビジネスリスクを最小限に抑えるためのサポートが可能な機能を幅広く取り揃えております。

イントラリンクスのセキュリティおよびガバナンス機能は以下を提供します:

  • カスタマー・マネージド・キー (CMK)により、コンテンツへのアクセスを総合管理.

  • IRM(情報権限管理)により、個々のコンテンツを細部までライフタイム管理

  • 特別な認証および適切な保護を設けない限り、ある地域に保存された情報が別の場所で保存されることがないよう、物理的ジオロケーション機能 によって、地域内処理機能およびアーカイブ作成機能を提供

  • SCCなど、個人情報の国外移転に関する法的な手段に対応し、欧州委員会により個人情報の保護レベルが「適切」であるとみなされていないEEA外の国への個人情報送信を実現。イントラリンクスは、EU-USプライバシーシールド認証取得済み、またBCR申請も承認待ち

イントラリンクスは、次のような用途で幅広く採用されています。

Vendor-risk management and third-party oversight

ベンダーリスク管理およびサードパーティ監視:

規制要件を遵守し、顧客とステークホルダーを保護するためのベンダーおよび事業部門の管理には、常に課題が山積みです。

  • 機密情報および個人情報の送受信を保護
  • 契約条項の遵守を監視し、執行

コンプライアンス管理システム:

社内外のステークホルダーと協働するため、詳細なオペレーション管理と情報セキュリティによって企業全体のコンプライアンス情報を管理します。

  • ドキュメントの準備、審査、配布の担当者、内容、時期に関する証拠を提供
  • 社内外の当事者が利用可能な、コンプライアンスに関するマニュアル、ポリシー、手続きに関するドキュメント類を一元管理
Compliance management systems
Risk and compliance data governance:

リスクおよびコンプライアンスデータガバナンス:

グローバル金融危機により、企業全体でリスクおよびコンプライアンスデータをいつでも提出できる状態にする必要があることが浮き彫りになりました。監督機関からは、完全かつ正確なデータを迅速に提供することが期待されます。そこで、イントラリンクスは以下を提供します。

  • 各地域、事業部、IT環境の境界線を越えた単一のグローバルプラットフォーム
  • 機密性の高い監督情報を監督機関や他の当事者と共有するために必要な、エンタープライズクラスの情報セキュリティ

規制機関への届出:

組織内の各所からフォーマットの異なる多種多様な情報を集計し、体裁を整えて規制機関へ提出します。

  • 情報公開前に情報のセキュリティを保護
  • 提出期限に間に合うよう業務を効率化
  • 書類の準備と提出プロセス全体で説明責任を向上
Regulatory filings

「イントラリンクスは、当事務所がクライアントや第三者とデータを共有し協働する上で、想像力と独創性に富みかつ安全なプラットフォームを提供してくれました。

Anna-Marie Back
,
Senior IT Trainer, Kingsley Napley

GDPR用語集

  1. Adequate Level of Protection or Data Adequacy – a status granted by the European Commission to non-EEA countries who provide a level of Personal Data protection that is “essentially equivalent” to that provided in European law

  2. Binding Corporate Rules – a set of binding rules put in place to allow multinational companies and organisations to transfer Personal Data that they control from the EEA to their affiliates outside the EEA (but within the organisation)

  3. Data Controller – the entity that determines the purposes, conditions and means of the processing of Personal Data

  4. Data Subject – a natural person whose Personal Data is processed by a Data Controller or Data Processor

  5. Data Processor – the entity that processes data on behalf of the Data Controller

  6. Data Protection Authority – national authorities tasked with the protection of data and privacy as well as monitoring and enforcement of the data protection regulations within the EU

  7. General Data Protection Regulation (Regulation (EU) 2016/679) – a EU law designed to strengthen and unify the data protection rules applicable to Personal Data of citizens of the EEA

  8. Standard Contractual Clauses – a contractual mechanisms approved by the European Commission to ensure adequate safeguards for Personal Data transferred from the EEA to countries which the European Commission has not found to offer adequate protection for Personal Data

  9. Supervisory Authority – an independent public authority which is established by a EU Member State pursuant to Article 51 of the GDPR

  10. Personal Data – any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person

  11. Privacy by Design – a principle that calls for the inclusion of data protection from the onset of the designing of systems, rather than an addition

 

The materials available on this website are for informational purposes only and are not intended for the purpose of providing legal advice. You should not act upon any information provided herein without first seeking the assistance of a qualified legal counsel. Intralinks disclaims, to the fullest extent permitted by law, all liability with respect to actions taken or not taken based on any or all of the contents of this website.