GDPR
(EU一般データ保護規則)

 ◇GDPR(EU一般データ保護規則)とは
 ◇ビューローベリタスのデータ保護認証について
 ◇ビューローベリタスが選ばれる理由
 ◇資料ダウンロード
 ◇関連サービス

GDPR(EU一般データ保護規則)とは

2018年5月に施行された「EU一般データ保護規則(General Data Protection Regulation:GDPR」は、欧州経済領域(European Economic Area :EEA、EU加盟27ヶ国+ノルウェー、アイスランド、リヒテンシュタイン)において収集した個人情報の処理および移転に関するルールで、違反すると高額な制裁金を課されるリスクがあります。
このルールはEEA域内に拠点を持つ企業だけにとどまらず、EEA域内に居住する個人に対して、例えばインターネットを通じてビジネスを行う企業や個人情報を収集する企業にも適用されます。従って、データの適切な処理および移転に際して、GDPRを順守する体制を構築することは組織にとって急務です。
GDPRが適用されるのは営利企業のみならず、公的機関・地方自治体・非営利団体なども含まれます。

認証の特徴および取得のメリット

  • 欧州のみならず、世界中で運用できる規格です
  • ISO 9001(品質)およびISO/IEC 27001(情報セキュリティ)の要素を取り入れています
  • 業種、製品やサービスを問わずに導入でき、プロセスの上流から下流までをカバーしています
  • 適切なデータの処理および移転に関する取り組み状況を対外的に示すことができます
  • 組織自らがデータ保護に関するルールや運用手順を定めることなく、すぐに取り組めます

GDPRの適用範囲

GDPRは、EU加盟27ヶ国およびノルウェー、アイスランド、リヒテンシュタインで構成される欧州経済領域(EEA)内に居住する個人の個人情報を対象としています。適用対象は欧州に拠点を持つ企業に限定されず、EEA域内の個人に対してインターネットを通じてビジネスを行う企業や個人情報を収集する企業にも適用されます。また、営利企業のみならず、公的機関・地方自治体・非営利団体なども対象に含まれるため、組織の形態や業種を問わず広範囲に適用される規則です。

日本企業への適用

日本国内に拠点を置く企業であっても、EEA域内に居住する個人の個人情報を取り扱う場合はGDPRの対象となります。例えば、日本の企業がEU圏内の顧客にサービスを提供する、EU域内から個人情報を収集する、またはEU域内の子会社や支社を通じて個人情報を処理する場合などが該当します。したがって、グローバルにビジネスを展開する日本企業にとって、GDPRへの対応体制の構築は重要な課題となります。

対応のポイント

GDPRへの対応を効果的に進めるには、以下のポイントが重要です。

  1. プロセス全体での対応体制の構築
    個人情報の収集から処理、移転に至るすべてのプロセスにおいて、規則の要件を理解し体制を整備することが必須です。
  2. 具体的な運用手順の整備
    特に以下の項目について、具体的な運用手順の構築が求められます。
    • 同意の管理:個人からの明確な同意取得と管理
    • 処理の目的と比例性の評価:収集する情報が目的に対して適切であるかの評価
    • データポータビリティ権の管理:個人が自身のデータを取得・移転できる仕組みの構築
    • 削除権(忘れられる権利)の管理:個人からの削除要求への対応体制
  3. 既存システムとの統合運用
    ビューローベリタスのデータ保護認証規格を活用することで、ISO 9001(品質)やISO/IEC 27001(情報セキュリティ)などの既存のマネジメントシステムと統合しながら、実用的かつ包括的に対応することができます。
     

ビューローベリタスのデータ保護認証について

ビューローベリタスは、EU一般データ保護規則(規則 EU2016/679)に対応するため、2017年9月にデータ保護認証規格を発行しました。この規格はPDCAの概念を採用したマネジメントシステムで、組織がGDPRを順守した体制を構築するための実用的かつ包括的な手順を提供します。ISO 9001(品質)やISO/IEC 27001(情報セキュリティ)など既存のマネジメントシステムと統合して運用することも可能です。

組織のプロセスを変更することなく、必要な項目への対応が可能

GDPR データ保護認証規格

  • 同意の管理
  • 目的に対する処理の比例性の評価
  • データポータビリティ権の管理
  • 削除権(忘れられる権利)の管理

データ保護認証規格(英語版)はビューローベリタスのウェブサイトから無料でダウンロードできます。
Data protection certification and GDPR(英語)

ビューローベリタスのデータ保護認証規格の概要

  • GDPRに対応するために、以下の6つの箇条で構成されています。
    GDPR データ保護認証規格の概要
  • 当規格とGDPRおよびISO9001:2015の箇条比較表が付加されており、リスク管理者やデータ保護責任者(DPO)にとって、既存のマネジメントシステムと統合しての運用が容易です。

ビューローベリタスのデータ保護認証のプロセス

  • 3年間の認証サイクル
  • 初回審査後、維持審査を経て再認証審査へ
  • オプションで予備審査も利用可

ビューローベリタスが選ばれる理由

  • ネットワーク
    140ヶ国1,600の拠点
    ビューローベリタス各国が持つノウハウを共有
    お客様が展開する国内外の事業ネットワークをカバー
  • 認証実績
    約150,000社の企業に対する認証実績
  • ワンストップ審査
    各規格の審査の一貫性、最適化、効率化を実現

資料ダウンロード

関連サービス

データ保護認証以外にもビューローベリタスはさまざまな規格の認証サービスを提供します。

CONTACT

ビューローベリタスジャパン株式会社 システム認証事業本部

苦情・異議申し立て