Logo - Full (Color)
メインコンテンツにスキップ
GDPR Compliance Definition and Checklist

GDPRへの対策は
万全ですか?

確認シートで準備状況を点検しましょう。

企業ごとにビジネスの進め方は異なります。GDPRではデータ保護に対してリスクベースのアプローチを採用しているため、各社は(HubSpotのマーケティングツールとセールスツールの使用方法を含め)現在のデータ収集および保管の方法を評価し、自社に合わせた法的アドバイスを受けることにより、自社のビジネス手法がGDPR要件を満たしていることを確認しなければなりません。このページには、今後の対応を決定するうえで考慮するべき事項をまとめました。

評価

  • どのような個人データを収集または保管していますか?
  • その個人データは適正な方法で取得されたものですか? データ主体にそのデータの具体的な使用目的を明快にわかりやすく通知し、必要な同意を得ていますか? また、同意は随時取り消せることをデータ主体に伝えましたか?
  • 個人データは必要な期間のみ保持され、常に最新の状態に保たれていますか?
  • リスクに応じた適切なレベルのセキュリティー対策を講じ、データの安全性を維持していますか? たとえば、自社が保持している個人データを保護するために暗号化や仮名化は必要ですか? 目的の用途以外に使用されないよう、個人データにアクセス制限を適用していますか?
  • センシティブ(機微)情報、子供の個人データ、バイオメトリックデータ、遺伝子データなど、特別なカテゴリーの個人データを収集または処理していますか? 該当する場合、そうしたデータの収集、処理、保管に関する基準を満たしていますか?
  • EUの域外に個人データの移転を行いますか? 該当する場合、適切な保護対策を実施していますか?

GDPR対応プロジェクトの計画

  • 2018年5月の施行までに法令要件を満たせるよう、プロジェクト計画の策定は完了していますか?
  • プロジェクトを進めるのに必要な人員および予算を確保することについて幹部レベルの承認を得てありますか?
  • データ保護影響評価(DPIA)は必要ですか?
  • データ保護責任者は必要ですか?
  • データ保護の「バイデザイン」および「バイデフォルト」のポリシーに則り、プロジェクトまたは構想が個人のプライバシーにどのような影響を及ぼす可能性があるのかを体系的に検討していますか?
  • 従業員データの取り扱い方法についても、計画の中で考慮していますか?

手順と統制

  • GDPR施行後に果たすべき義務について、セキュリティーチームへの情報伝達は行われていますか? また、必要な変更を加えたり、新しいプロセスを実装したりするのに十分な人員がセキュリティーチームに配置されていますか?
  • データ主体から個人データの変更、削除、アクセスを要請された場合の対応手順は定義されていますか? その手順は、GDPR施行後の新しいルールの要件を満たしていますか?
  • GDPR施行によって強化されるルールに従い、データ侵害の発生時に速やかに報告義務が果たせるよう、セキュリティー通知の手順を定義していますか?
  • 法令に従ってスタッフが正しくデータを扱えるよう、EUのデータプライバシー法全般に関するトレーニングを行っていますか?
  • 保持するデータの点検や監査を定期的に行っていますか?

文書化

  • 既に実施しているプライバシーポリシーはありますか? 該当する場合、GDPRに対応するためにポリシーの更新は必要ですか?
  • 顧客やプロスペクト、ベンダー、従業員から収集する個人データのあらゆる項目について、保持期間に関するポリシーは定義されていますか? そのポリシーはGDPRの要件を満たしていますか?
  • 社内手順は適切に文書化されていますか?
  • 自社がデータ処理者である場合、GDPRの28条が定める必須条項を含むよう、関連する管理者との契約内容が更新されていますか?
  • 自社に代わって外部のベンダーが個人データの処理を行う場合、GDPRが定める処理者の要件を満たすよう、ベンダーとの契約内容が更新されていますか?

免責事項

ここで示す法的な情報は、弁護士がお客様の固有の状況を踏まえて適用法に沿って提供する法律上のアドバイスに匹敵するものではありません。そのため、本情報の解釈または正確性に関して助言が必要な場合には、必ず弁護士にご相談ください。一言で言えば、本ページの内容を法律上のアドバイスとして信頼することはできません。また、特定の法律上の了解事項として推奨するものでもありません。