Amazon Web Services ブログ
成功のヒント: GDPR から学んだ教訓
セキュリティは AWS の最優先事項です。これはサービスの開始時から変わりません。GDPR (EU 一般データ保護規則、2018 年 5 月 25 日に施行開始) の導入により、私たちのセキュリティ中心の文化でもプライバシーとデータ保護がより強く意識されるようになりました。締切りよりかなり前でしたが、数週間前に AWS のすべてのサービスが GDPR の基準を満たしていることを発表しました。つまり、お客様の GDPR の課題を解決する 1 つの方法として AWS をご利用いただけるようになりました (詳細は GDPR Center をご覧ください)。
GDPR への準拠に関しては、多くのお客様で順調に準備が進んでおり、当初の不安はかなりなくなったようです。この話題でお客様とお話をさせていただくと、いくつかのテーマが共通しているように感じます。
- GDPR は重要です。EU のデータ主体の個人データを処理する場合は、よいプランが必要です。これはガバナンスの問題だけでなく、GDPR に違反した場合には重い罰則があるからです。
- この問題の解決は複雑で、多数の要員とツールが必要になる可能性があります。GDPR のプロセスでは多岐にわたる訓練も必要になるため、人員、プロセス、テクノロジーに影響が及びます。
- お客様ごとに状況は異なり、GDPR への準拠を評価する方法も多数あります。そのため、お客様のビジネスの特性を意識することが重要です。
ここでは、私たちが学んだ教訓を共有したいと思います。GDPR の課題を解決するために、重要だったのは次の点です。
- 経営陣の参加が重要です。GDPR の詳細なステータスを当社 CEO の Andy Jassy と定期的に話し合っています。GDPR が非常に重要であることを AWS の経営陣は理解しています。必要な注意が GDPR にまだ向けられていないなら、今すぐ経営トップに知らせる必要があります。
- GDPR 関連の作業を集中管理する必要があります。すべての作業の流れを集中管理することが重要です。当然のことのようですが、管理が分散すると、作業の重複やチーム・メンバーの方向性にズレが生じます。
- GDPR の課題の解決で最重要のパートナーは法務部門です。お客様独自の環境に対して GDPR をどのように解釈するかを法務部門以外に任せるのは、リスクが大きく、時間とリソースの無駄になる可能性があります。法務部門から適切な助言を得て、方向性を統一して協力し、適切な緊急感を持って前進すれば、分析麻痺による作業停滞に陥らずにすみます。
- 技術担当役員と緊密に協力する必要があります。組織の中でもプロセス指向の人はガバナンスの問題への対処方法を知っているので、通常は GDPR にも積極的に取り組みます。しかし技術チームは、データの所有者も含めて、特定のビジネス・アプリケーション向けにソフトウェアを設定するのが仕事です。保存、処理、または他のビジネス部門に転送されるデータが、どのような種類なのかは把握していない場合があります。GDPR の基準を満たすには、システム間のデータとデータ要素を追跡する(または少なくとも追跡できるように支援する)必要があることを技術チームに認識してもらう必要があります。これは、技術チームには通常は要求されないことなので、教育してデータ・フローを十分理解してもらうように準備する必要があります。
- 確立されたチェックリストに頼るのは危険です。GDPRの基準を満たす方法は複数あります。結局 AWS では、核となる要求事項を決めて、データコントローラーとデータプロセッサーの職責ごとにマッピングしました。こうして明らかになった現状に基づいて、法務部門と協力しながら、複数のプロジェクトを決定しました。定型の方法、ツールおよびアンケートを使用して作業を進める場合は注意が必要です。これらの一般的な査定方法は教育には役立ちますが、作業の指針にすると、あなたの組織のコンプライアンスの重要な要素が欠落する可能性があります。この意味では、一般的な「フリーサイズ」のソリューションは役に立たない場合があります。
- 従来の通説を疑うことを恐れないようにします。私たちは新しい情報に基づいて何度も方針を変更しました。うまくいかないことがわかったら、これまでの作業が無駄になっても方針を変える必要があります。必要なときは、経営陣に問題を上げることもためらわないでください。これは経営の問題なのです。
- このコンプライアンス活動後にも成果を活用できる方法を探します。GDPR には多くの作業が必要ですが、成果は GDPR のコンプライアンスに限定されるわけではありません。GDPR のワークフローは将来のガバナンスの改善にも活用できます。プライバシーとセキュリティに対しては引き続き対処が求められます。ガバナンスのプログラムを他の目的にも適用して、利用できるようにしておきましょう。
大きな助けになった最後のヒントは、データ主体の保護を考えて、そこから逆に作業を進めることです。お客様を中心に考えると、お客様とデータ主体は私たちに何を求め期待しているかがわかります。法務またはコンプライアンスの観点のみから GDPR を見ると、技術的には十分かもしれません。しかしセキュリティと個人データの保護を目標にすると、さらに包括的な見方が必要になります。 GDPR が保護の対象としている「個人」に目を向けることが、そのような見方を形作るのに最も効果的な方法です。
私たちの経験の詳細や、私たちがお客様の作業を支援する方法をお知りになりたい場合は、今すぐにご連絡ください。
-Chad Woolf
Vice President, AWS Security Assurance
(翻訳:AWS セキュリティ・アシュアランス本部 戸内加奈。原文は Tips for Success: GDPR Lessons Learned)