(この記事は 2017 年 12 月 15 日に Caglayan Arkan's Blog に投稿された記事 "Achieving GDPR compliance in manufacturing" の翻訳です。最新の情報はリンク先の記事をご覧ください。)
EUのGDPR(General Data Protection Regulation, 一般データ保護規則)が2018年5月に施行されるため、この記事では製造業におけるコンプライアンスへの影響を精査してみました。
歴史的に、製造業者は、製品、サプライチェーン、ベンダー、従業員、顧客に関するデータを分析して、ビジネスの変革に役立つインサイトを得てきました。今日、世界中の製造業者は、複合現実 (Mixed Reality) によって実現されるデジタルツインのプロセスから、人工知能によって可能になる予測能力まで、インダストリー4.0の技術の恩恵を受けています。これらの技術は、製造プロセスの改善、環境への影響の低減、潜在的な資産信頼性の問題の先取り、健康と安全の向上をもたらします。
このイノベーションにより、これまで以上に多くのデータを収集し、理解し、推論し、行動を起こすことができます。しかし、データの潜在能力を最大限に引き出すことは、時には、馴染みのない規制要件や新しい規制要件への対応を必要とすることもあります。
GDPRの紹介
GDPRは、製造業者が計画しなければならない重要な規制要件です。規制は2018年5月25日から適用されますが、製造部門の多くは、法律が存在することをまだ認識していない可能性があります。
この現状は理解できることです。わずか数十年前、製造業者は個人データをほとんど集めていませんでした。しかし、今日、製造業者は、従業員、ビジネスパートナー、サプライヤー、顧客などの「識別可能な自然人」に関するデータを収集することがよくあります。この種の「個人的な」データは、まさに新しい法律の規制対象に含まれています。
GDPRは、欧州以外の製造業者にも影響を与えます
もちろん、欧州企業はGDPRを認識しています。しかし、GDPRは、欧州連合内の事業と従業員を抱える外国企業にも適用されますが、このことは意外と認識されていません。加えて、GDPRの驚くべき特徴の一つは、ヨーロッパ外でのデータ処理や、EUに拠点を持っていない企業にも適用されうることです。
GDPRの適用範囲には広い幅があります。例えば、GDPRは、EU内の商品やサービスの提供に関連する処理活動に適用されます。つまり、製造業者が施設を持っていなくても、EU内の消費者への製造品の販売を行うとGDPRが適用されることがあります。EUでは 同様に、IoT でつながった製品を通してデータ収集を行うような、EUにおける顧客の行動の「モニタリング」は、GDPRの適用対象になることがあります。
考えなければいけないことは明確です。ヨーロッパ以外の製造業者であっても、GDPRの適用可能性を考慮し、それに応じて計画する必要があります。私は弁護士ではありませんが、私はGDPRを個人的に見直し、法務チームと協力して、製造業者としてのマイクロソフトと、マイクロソフトの製造業界の顧客に対するGDPRの潜在的な影響をより深く理解しました。以下は製造業者の潜在的な課題の概要として気にかけているものをまとめたものです。
GDPRに必要なもの
GDPRは、その適用対象の企業に対して以下のような幅広い要件を課しています。
- 適用対象の拡大。データ処理の面で適用対象がより広がるため、製造業者はその事業基盤に関係なくGDPRの対象となる可能性があります。適用対象のグローバル製造業では、従業員、顧客、サプライヤー、下請け業者の連絡先詳細から銀行口座情報までのすべての個人データを保護する必要があります。製造業者は、従業員データ、給与計算記録、年金記録を含む幅広い個人従業員記録に特に注意を払う必要があります。
- 同意。大げさに言えば、GDPRの最大の課題は、同意を得ることに関する新しい要件です。GDPRの下で、製造業者は、いくつかのシナリオにおいて、データ主体から明確かつ意味のある同意を得ることが求められます。GDPRは、「自由になされた、特定された、十分に情報を知らされた上での、かつ曖昧でない」同意を求める必要があります。また、製造業者が機密データを処理する場合、同意の基準が高くなります。製造業者は、従業員の健康や連絡先の詳細を記録したり、製造プロセスでベンダーや下請け業者を扱うときなど、これらの要件の影響を受ける可能性があります。
- データの透明性と公平性。この義務を満たすために、製造業者は、収集し処理する個人データを従業員、ベンダー、消費者に知らせる必要があるかどうかと、その最善の方法を検討する必要があります。(製造業者が直接小売していない場合は簡単ではありません 。)製造業者が消費者と直接相互作用する接続されたデバイス(例えば、家庭内の「スマート」センサー、接続された車内のセンサー)を提供する場合、ユーザインターフェース要件は特に重要です。製造業者は、データを処理するための「法的根拠」を持っているかどうかを評価する必要があります。なぜなら、個人データを収集する能力があり、消費者にそれを伝えたとしても、それにより自動的に権利を獲得できるものではないからです。
- データ使用の目的。新しい機能やインサイトのために個人情報が再利用される際に、GDPR規則が遵守されるように、製造業者は管理が確実に行われるようにする必要があります。これには、データ分析の実行方法を管理するための制御と手順の実装が必要な場合があります。
- ビッグデータ、プロファイリング、データの最小化。製造業者がこれまで以上に大量のデータを収集するときは、データの最小化の原則を遵守することは課題となります。製造業者は、従業員、ベンダーおよび顧客から収集する個人データをレビューし、収集理由と保持期間の検討をする必要があります。特に、従業員や消費者とやり取りする IoT デバイスはプライバシー要件を考慮してレビューする必要があります。というのも、GDPRは「自然人の仕事効率、経済状況、健康、個人的嗜好、興味、信頼性、行動、場所、または動作の分析または予測を行うため、自動処理されるあらゆる形式の個人データ」と定義されるプロファイリングに関して規則を規定しているためです。
- データセキュリティと漏洩通知。製造業者は、営業秘密やその他の無形資産を保護するために、データセキュリティの重要性を既に認識しています。しかし、GDPRでは、企業が個人情報を安全に保つために十分な組織的・技術的対策を講じないと、重大な罰則を課すことも考えられています。GDPRは、製造業者に、従業員の個人データなど、その機密性を含むさまざまな要因に従って個人データを保護することを要求します。データ漏洩が発生した場合、データ管理者は通常、72時間以内に適切な当局に通知しなければなりません。さらに、漏洩が個人の権利と自由に高いリスクをもたらす可能性がある場合、製造業者は過度の遅滞なく被害者に通知する必要があります。
- 従業員、下請け業者およびサプライヤーのデータ主体の権利。GDPRの下では、従業員を含む個人は、組織が個人データを処理しているかどうかを調べ、その処理の目的を理解する権利を持っています。状況に応じて、個人は、データを削除する権利(「忘れられる権利」とも呼ばれる)や訂正する権利、処理されないようにする権利、プロファイリングされない権利、特定用途への利用への同意を取り消す権利も有しています。これらの権利をすべて遵守することは、大規模な企業であっても課題となります。なぜならデータに対する要求を処理し、異なるシステムに分散している人物に関するすべてのデータを集約し、必要に応じてそのデータをデータ主体に開示する仕組みを必要とするからです。
これらのことだけが、GDPRが課す要件ではありません。他にも例えば、製造業者は、データ保護責任者を任命し、データ保護影響評価を実行し、サプライチェーンをカバーするための適切な管理と遵守措置が講じられるよう、ベンダーとサプライヤーの合意を確認する必要があります。EU外の個人データの第三国への移転にも特別な規則が適用されます。
クラウドツールがどのように役立つか
上記要件のリストは、GDPRの要件の一部にすぎません。結果として、大規模かつ十分に確立された製造業者でさえ、法律の藪の中で何を行えばいいのか「迷子になる」可能性があります。製造業者にとって良いニュースなのは、マイクロソフトが既にGDPRへの準拠を促進するためのツールを実装したクラウドテクノロジを開発するために熱心に取り組んでいることです。これには、トラストセンターに記載がある暗号化、証明書の保護などの技術的なセキュリティを可能にする幅広い対策、アクセス制御、監査およびロギング機能などの組織対策、記録保持や保持ポリシー機能、データ分類ツールなど、多くのデータ管理機能が含まれます。インダストリー4.0の技術は、プロセスや製品を変革するために活用できますが、同時に規制を遵守しやすくするためにも使用できます。
以下に例を4 つ挙げます。
- Office 365は、Office 365内に保持されている従業員、従業員、下請け業者、サプライヤーおよび顧客データを自動的に識別するのに役立ちます。
- 2017 年前半に導入されたMicrosoft 365は、 Office 365、Enterprise Mobility+Security、およびWindowsを、Microsoft 365と呼ばれる常に最新の単一のソリューションにまとめました。Microsoft 365 は、必ずしも近代的な基準や規制に準拠しない複数の断片化されたシステムの多くのコストから組織を救済します。また、Compliance Manager(下記参照)も含まれています。
- AzureのAzureデータカタログ/ Azure Appカタログは、工場から本社まで、ビジネス全体のシステム、データベース、業務アプリケーションの個人データを明らかにするのに役立ちます。
- Compliance Managerは、顧客がデータ保護とコンプライアンスの姿勢を評価して追跡し、改善するための実用的なインサイトを得るのに役立ちます。インテリジェントなスコアで、顧客は規制基準に対するコンプライアンス態勢をよりよく理解することができます。
マイクロソフトは、クラウドサービス契約約定にGDPR関連の保証を既に提供しており、顧客がEUからクラウドに個人データを転送できるようにEUモデル契約を提供している。
これは複雑な領域であり、各社のGDPRへの準拠は独自のものになります。製造業者は、GDPRがビジネスにどのように影響を与えているかを理解し、弁護士に相談してコンプライアンスへの道筋を確保する必要があります。また、ベンダーと協力してGDPRの要件を満たし、実際にコンプライアンスを促進する技術やサービスを採用する必要があります。
製造業者がGDPRコンプライアンスを考慮する上でご質問がある場合は、GDPRアセスメントを参照すると同時に、GDPRコンプライアンスやニュースの最新を取得し、マイクロソフトのサービスがどのようにお役に立てるかをご覧ください。もしくは弊社の営業担当にお問い合わせください。