前回の記事では、GDPRに対応するためのITガバナンスでデータ処理の部分に関する注意点を説明しましたが、今回は（3）について解説します。

＜ITガバナンスの観点からのGDPR対応に必要になる活動＞

1．GDPR対応のガバナンス体制を見直し、roles and responsibilities（R&R）を見直す
2.　データ処理業務に関する詳細な記録を行いモニタリングする
3.　データ保護およびポリシー文書の整備と適切な管理
4.　リスクの高いデータ処理運用に対して、Data protection impact assessments (DPIAs)を行う
5.　個人情報保護を適切に行うための施策を実施する
6.　従業員の教育とアウェアネス
7.　必要な場合、データ保護オフィサーを任命する

-------------------------
3.　データ保護およびポリシー文書の整備と適切な管理

GDPR対応のガバナンス体制の設計において、その設計図といえる要素の一つがポリシー文書です。ほとんどの組織においては情報管理ポリシー、個人情報保護ポリシーが存在しますが、国内法に準拠していても、GDPRのスコープは広く事業者に対する要求も厳しいため、自動的にGDPRに対応するわけではありません。

ポリシーの見直しは必須になりますが、その前提として、まずは現状の調査を行う必要があります。

以下は見直しにあたって社内で聞き取り調査すべき項目です。

・どんな個人情報を収集しているか？ また収集した情報はどの様に使われ、誰に閲覧権限があり、どこに送信されているか？
・個人情報を保存しているか？ またどこに、どの様に保存しているか？
・個人情報管理のサイクルはどの様になっているか？
・個人情報削除の最終権限は誰が持っているか？ 実際に作業を行うのは誰か？ またどの様なツールを使用して削除しているか？
・個人情報の保存期間は？ また保存期間は守られているか？
・個人情報のバックアップはどの様に行われているか？
・個人情報を保護するための事業継続計画は存在するか？

担当者への聞き取りの他に、対応するポリシーや手順書と実態とのギャップの確認、プロセスフローの確認も必要になります。プロセスによっては、作業が実際に行われる場面を目視で確認する必要も出てくるでしょうし、作業を記録したログやドキュメントを確認する作業も発生します。改定するポリシーや手順書に抜けを作らないために、現状をきっちりと把握するのが重要です。

これらの情報を収集したら、次はGDPRの要求項目と現状を対比します。例えば「どんな個人情報を収集しているか？」については、現在収集している個人情報のリストの他に、そもそも自社では「何を個人情報として定義しているか」の確認が重要です。

GDPRでは個人情報のスコープが広くなり、バイオメトリックデータ（Biometric data）と遺伝子情報（Genetic data）も含まれるためです。バイオメトリックデータには、例えば訪問者や社員が建物に入館した場合の個人認証も含まれます。

また社内の電話の通話記録、メールの送受信、監視カメラの映像といったものも個人情報に含まれるので注意が必要です。

多くの組織ではこれまで個人情報として管理されてこなかった情報も含まれるので、それらを個人情報として明確に定義し、社内で十分通知した上でポリシーを改定する必要があります。

＜GDPRが定義する個人情報＞

個人情報（Personal data）
氏名（Name）
住所（Address）
メールアドレス（Email address）
写真（Photo）
IPアドレス（IP address）
位置情報（Location data）
オンラインでの活動（Online behaviour 、cookies)
プロファイリングと分析データ（Profiling and analytics data）

＜個人情報の特別な分類（Special categories　of personal data）＞
人種（Race）
宗教（Religion）
政治的意見（Political opinions）
組合会員（Trade union membership）
性的志向（Sexual orientation）
健康情報（Health information）
バイオメトリックデータ（Biometric data）
遺伝子データ（Genetic data）

次回もGDPRに関係するドキュメントについて説明します。