EU GDPR(一般データ保護規則;Global Data Protection Regulation)を理解するにあたって、現在の情報セキュリティにおける ISMS(ISO/IEC 27001)との差分を知ることが、早いアプローチかもしれません。
ISMS を規格として統制している英国規格協会(BSI)によると、以下の差分を示しています。
- 法令変更の認識:個人情報を扱う情報セキュリティに対して責任を負う CIO や CISO ならびに関係者 が、GDPR への理解と共に、必要な教育を受けていることが求められます。
- データ保護責任者(DPO)の任命:CIO や CISO は、従来個人情報保護に対する責任を担っていたかもしれませんが、GDPR では、DPO(データ保護責任者)として任命されていることが求められています。
- 内部監査:内部監査では、個人情報について、その出所や共有関係などを精査し、評価することが必要となります。
- 手順の見直し:個人情報が正確で、収集された目的で使用され、必要以上に長く保管されないようにする方法や要求された場合に個人データを提供または削除する方法の手順を明確にします。
- インシデント管理:個人情報の漏えい等のインシデントが発生した際、GDPR で示された時間的制限内で対応出来るよう管理内容および手順等を見直します。
- 個人情報管理としての他のマネジメントシステムの確認:BS 10012 や ISO/IEC 27018 などは、個人情報マネジメントシステムにおいて、追加のガイダンスとして利用価値がありそうです。