ドイツの州監督機関が「無作為GDPR監査」を実施


ドイツの州監督機関が「無作為GDPR監査」を実施

ドイツのバイエルン州とニーダーザクセン州の監督機関では、GDPRの遵守状況に関する「無作為の監査」を、それぞれ数十社に対して実施している。
2018年7月、ニーダーザクセン州の監督機関は、ニーダーザクセン州に本社を置く、様々な業種の、大企業20社、中規模企業30社にアンケートを配布した。アンケートは次の10問からなる。
① GDPRへの準備状況
② 個人データ処理活動のリスト
③ 適法根拠
④ データ主体の権利への影響
⑤ 技術的・組織的安全保護策
⑥ DPIA
⑦ 処理者契約
⑧ DPO
⑨ 当局への通報
⑩ 文書化

このアンケートの評価後に、選ばれた企業に対して現地監査を実施するが、最終報告は2019年5月に予定されている。ニーダーザクセン州当局は「2年間の移行期間後に、各社の取り組み状況を知りたい。また、データ保護全般の周知化を図りたい。当面は、対応の誤りを数多く発見して制裁金を果たすことは優先事項ではない」と述べている。

9月には、バイエルン州の監督機関が次のアナウンスを行った。
 ● 最初の監査はバイエルン州の大企業三社。監査は特定の重点はない(2018年9月に計画)
 ● 8つの医療機関のサイバーセキュリティ(2018年9月に計画)
 ● 25社程度に応募者への透明性の要件の監査(2018年10月に計画)
 ● 15社程度のオンラインサービス会社へのパッチ管理監査(2018年11月に計画)
 ● 10社程度、データ漏洩の復処理者の監査(2018年11月に計画)

バイエルン州の監督機関は追加監査が続くと記している。現状ではアナウンスされていないが、ドイツの他の州でも類似の無作為監査が行われる可能性が指摘されている。

関連ニュース
https://globalcompliancenews.com/german-data-protection-supervisory-authorities-start-random-gdpr-audits-20181008/
ニーダーザクセン州監督機関のサイト
https://www.lfd.niedersachsen.de/startseite/allgemein/presseinformationen/querschnittspruefung_fragen_zur_dsgvo_an_50_unternehmen/fragen-zur-ds-gvo-an-50-unternehmen-166110.html
ニーダーザクセン州当局のアンケート
https://www.lfd.niedersachsen.de/download/132359
バイエルン州監督機関のサイト
https://www.lda.bayern.de/de/kontrollen.html

関連記事