2回目は、GDPRが業務に及ぼす影響やその対策をまとめる。
GDPRへの対応は、多くの企業や組織に混乱を生む。新しいルールの導入は、準備期間があったとしても予想外の結果をもたらすことがある。
whoisはインターネット上のドメイン名の管理者や持ち主に関する情報が調べられる、インターネットインフラの一部ともいえるサービスだ。管理は米国のICANNが行っている。
GDPRに従うと、EU圏のサーバーやドメインに関する情報の検索が制限される。攻撃サーバーやフィッシングサイトの停止作業に影響が出ると懸念されており、現在EUとICANNの間で調整が行われている。
米国では、民間セクターでも混乱が報告されている。GDPR以前の基準に基づいてEU圏のデータを利用してサービスを提供していた企業が、サービスを一時中断したり、撤退を考えたりするという事態が発生している。
米国はプライバシーシールド合意によってEUデータの越境が認められている。この合意は、米国政府や企業がEUの保護規定を順守するという誓約を根拠に、企業ごとの個別の認定(BCRやSCC)を不要としている。「規則を守ること」が合意の根拠なので、GDPRに準拠した個人情報の管理と取り扱いは必須となる。ビジネスがGDPR以前の保護規定に依存している場合、サービスを考え直す必要がでてくる。
個人情報のポータビリティへの対応が必要
長期的には、データのアクセス権やポータビリティによる影響も考えられる。事業者は、個人情報は本人に許諾を得ながら利用できるものという前提で、ビジネスモデルやサービスモデルを考え直す必要があるからだ。
提供した個人情報のアクセス権や制御権は、以前からデータ主体である本人に認められており、法律上は大きく変わったわけではない。GDPRはその権利をより明確にし、ユーザーに制御権があることを周知させることが重要となる。利用や削除は、本人の指示によって許可される。さらに、ユーザーから自分の情報の電子データを要求された場合にも、対応する必要がある。
これらの要求は、ユーザーアカウントや個人情報、ログを管理しているシステムの改修を伴う場合がある。要求があれば、すべてのユーザーに対し、集めた情報、履歴を開示・提供しなければならない。これまで、ユーザーによる個人情報の閲覧や削除の依頼を電話、文書、メールなどで対応していたところは、オンラインで完結できるシステムを考える必要があるだろう。