GDPR(EUデータ保護規則)には、対象となる企業が遵守すべき項目がいくつか定義されています。
今回はその中から、個人データの処理における定義を紹介したいと思います。
注目すべきは、GDPRの個人データの処理方法で定義されている“完全性”です。
GDPRの対象企業に求められている個人データの完全性とは、一体どのようなものなのでしょうか?
他の定義も合わせて紹介します。
【GDPR】個人データ処理において企業が遵守すべき定義
個人データの合法性、公正性、透明性
GDPRの対象企業は、個人データの処理方法において合法性、公正性、透明性を持たなくてはいけません。
つまりデータの処理方法を包み隠さず、外部にも伝わりやすい方法を選択しなければいけないという事です。
中でも個人データの処理方法における“透明性”が非常に重要で、顧客に不信感を抱かせない様に方法を明確にして公表しておかなくてはいけません。
個人データの目的制限
GDPRの対象企業は、個人データをどのような目的で収集しているのかを明確にし、公表しなくてはいけません。
また、個人データの収集目的と関連性の低い処理方法を採用してはいけません。
目的を明確にしない事には、個人データを取り扱う権利がないも同然であり、顧客の信頼を得る事も出来ません。
個人データの最小限性
先ほどの目的制限に近いのですが、個人データの収集や処理は、出来るだけ必要最小限に抑えなくてはいけません。
本当に企業が必要な個人データを精査し、必要な範囲の個人データだけを収集・処理します。
個人データの正確性
GDPRの対象企業は、正確な個人データを処理して、臨機応変にアップデートする必要があります。
また正確ではない個人データが発見された場合、速やかに訂正し、削除しなくてはいけません。
正確性を維持する迅速な対応が可能な環境作りも必要です。
個人データの保管制限
個人データの保管は、処理目的で必要な期間にある場合、データ主体を特定出来る状態で行わなくてはいけません。
個人データの完全性、機密性の保持
GDPRの対象企業は、個人データが違法に処理されたり、破壊や消失などのセキュリティ事故に巻き込まれたりしない様に対策を講じ、完全性を維持する必要があります。
これは、GDPRの対象企業が個人データの完全性の維持する事であると同時に、機密情報である個人データを適切な方法で守る事でもあります。
個人データに関する責任
個人データを処理する企業の担当者は、上記の項目を遵守する責任があり、また遵守している事を証明出来る体制を整備しておかなくてはいけません。
まとめ
GDPRの個人データに関する項目には様々な定義がありますが、企業に最も力を入れてほしいのは、やはり完全性と機密性の保持です。
個人データの処理にとって最も大事なのは、やはり個人データを安全な環境に置いておく事でしょう。
もっと個人データの完全性、機密性の保持に力を入れたいという企業は、“第三者認証マーク”の取得がおすすめです。
マークを取得すれば、GDPR対象企業による個人データの完全性、機密性保持の適切な体制が自然と整うでしょう。
GDPRはまだ施行されたばかりの法律なので、対象となる企業は今一度、個人データの完全性、機密性保持の重要性について考えてみましょう。
