Galvanize
GDPR コンプライアンスをめぐる誇大宣伝は下火になったかもしれませんが、だからと言ってそのための義務もなくなったというわけではありません。 データ処理補遺条項『ベンダーの管理』の最新情報に常に接する方法を示します。
2018 年 5 月 25 日の EU の GDPR(General Data Protection Regulation:一般データ保護規則)の適用開始まで、GDPR に関する別の記事、ブログへの投稿、噂話に接することなしには、この GDPR という危機を脱することはできないでしょう。 誰もがこの新しい規制を急いで遵守しようとしましたが、GDPR へのコンプライアンスは「一度設定すれば忘れてよい」類のものではありません。GDPR では、組織が準拠しなければならないそのときどきの成果物を作成する必要があります。
『データ処理補遺条項』とは
この補遺に基づく成果物の 1 つは、個人情報を格納、処理するすべてのベンダーと共に DPA(Data Processing Addendums:データ処理補遺条項)を実行することです。
個人データとは、個人(または「データ主体」)を特定するのに使用できる、個人に関する情報のことです。 GDPR へのコンプライアンスでは、個人データには次のような数多くのデータ ポイントが含まれます。
- 名前
- 電子メール アドレス
- IP アドレス
- 写真
- 医療情報
該当するベンダーと共に DPA を実行して彼らに義務を果たさせることは、コンプライアンス部門の責任です。 DPA は、すべてのユーザーに義務を確実に果たさせるための二重安全機構と考えてください。
GDPR の「コントローラー」と「プロセッサ」とは
これらは EU GDPR 第 4 条 に次のように定義されています。
- コントローラー: 「個人データの処理の目的および手段を、単独か他者と共同で決定する、個人または法人、公共企業体、機関、またはその他の団体。」
- プロセッサ: 「コントローラーの代理で個人データを処理する、個人または法人、公共企業体、機関、またはその他の団体。」
「ベンダーの評価は継続的な要件のため、私たちはDPA のデュー デリジェンスの標準的プロセスを実行するのに、自社の HighBond プラットフォームを使用することに決めました。」
『データ処理補遺条項』のプロセス
新しいベンダーの登録(例:予備的デュー デリジェンス)を行う際には、DPA を実行します。 この手順は次の 4 つのステップから成ります。
- ベンダーが御社にとって GDPR の対象範囲に含まれるかどうかを確認します。 そのベンダー企業は、御社の従業員または顧客の個人データにアクセスする予定がありますか?
- ベンダーの DPA テンプレートを入手します。 GDPR では標準的な DPA フォーマットは制定していないため、さまざまなフォーマットが使用可能です ("DPA example" で検索を行うと、多数のフォーマットが見つかります)。
- DPA のレビューを弁護士に依頼します。
- DPA に署名し、DPA アーカイブ システムに保存します。
HighBond を使って『データ処理補遺条項』を実行する方法
ベンダーの評価は継続的な要件のため、私たちは自社の HighBond プラットフォームを使用することに決めました。 DPA のデュー デリジェンス用には標準的なプロセスを実行しました。 自社のソフトウェアを使用することから、多くのメリットを発見できました。
自動ワークフロー
対象範囲内のベンダーを登録することで、ワークフローが自動的に開始されます。 これは、ベンダーの登録に複数の部門がかかわる必要のある大規模な組織で役に立ちます。
当該のベンダーは GDPR の対象範囲に含まれていますか? 含まれている場合は、ワークフローを開始します。
実行しやすい手順
次のステップは、監視対象、実行するアクション、アクションをトリガーするタイミングを定義することです。
次の図において、ベンダーの[進捗状況(Status is)]は "レビュー中(Under Review)" になっています。 これは、弊社がベンダーの DPA テンプレートを受領したら、弊社法務部が DPA をレビューする必要があるためです。
オンボーディング プロセスでは、各ベンダーの進捗状況を簡単に確認できます。
ファイルを 1 箇所で保管、アクセスできます
文書化プロセスに複数の部門がかかわる場合は、それらの部門では通常、文書化プロセスを完了する際に、文書のコピーを保管します。 コピーの保管先の例には、デスクトップ、共有ドライブ、Confluence などのプロジェクト管理ツールがあります。 各部門のメンバーは、ファイルの最終バージョンのコピーも送ってくれるように依頼してくるかもしれません。
しかし、私たちはみな、文書のバージョンが複数あると、カオスと混乱が生じることを知っています! IT 部門、法務部門、情報セキュリティ部門では、いまや、署名ありおよび署名なしの DPA(データ処理補遺条項約)のコピーをベンダーごとに複数セット持っています。 HighBond では、ワークフローの最後に最終ファイルが保管されます。 誰でも、署名ありの最終バージョン自体に簡単にアクセスできます。 どの DPA についてもこのバージョンしかないため、カオスや混乱が生じることもありません。
署名ありの DPA は、この 1 箇所に保管されているので、すぐにアクセスできます。
ストーリーボードでわかりやすく視覚化
HighBond には、異なるチーム、経営陣、部門ごとに分かれた、セルフ サービスによるダッシュボードもあります。 私たちは、すべてのプロセスからの情報を統合することで、DPA の進捗状況をこれらのダッシュボードでチームから見えるようにします。 また、問題が発生している場所の特定と問題の緩和を簡単に行えるように支援します。
異なるチーム、経営陣、部門ごとに分かれた、セルフ サービスによるダッシュボードとは、コンプライアンス部門が個々のレポートの実行に時間を費やさなくて済むということです。
ユーザーとイベントが記録された監査可能な証跡
すべてのデータとメタデータは HighBond に保管されます。 したがって、いつでも(どのレコードについても)、どのユーザーがどのデータをいつ追加したかを確認することができます。 これにより、組織を防御できる体制を構築して、デュー デリジェンスを示すことができます。
使用を開始する準備はできましたか?
『データ処理補遺条項』を組織で遵守することを苦痛にする必要はありません。 最適な コンプライアンス テクノロジー ソリューションを展開すれば、簡単に規制の義務を達成できて高額の罰金を回避できます。
eBook
より良いコンプライアンス管理プラクティス
以下について学習します。
- 高い業績を上げるコンプライアンス管理プロセスとは
- お客様のコンプライアンス管理プログラムを変革する方法
- 高い業績を上げるコンプライアンス管理プログラムを実行するうえで重要な、テクノロジーに関する注意事項
