DSARボリュームの問題
GDPR第12条は、組織がデータ主体アクセスリクエストに対して1ヶ月以内に応答することを要求しており、複雑なリクエストには最大2ヶ月の延長が可能です。この1ヶ月のカウントは絶対的であり、猶予期間や善意の例外はありません。応答時間枠に対する不遵守は、基礎となるデータ保護慣行に関係なく、独立して制裁の対象となります。
2024年の主要なDPAの執行措置 — アイルランドのDPCによるLinkedInに対する310百万ユーロの罰金(有効な同意なしの行動広告に対して)およびMetaに対する251百万ユーロの罰金(データ侵害通知の失敗に対して) — は、データ主体の権利に対する公的な意識を大きく高めました。主要な罰金の後、DPAは通常、関連する意識向上キャンペーンを実施し、データ主体が行使する権利を学ぶにつれてDSARのボリュームが増加します。
EDPBの2024年の協調執行フレームワークは、アクセス権の失敗に焦点を当てており — DSAR応答の質とタイムリーさに直接対応しています。コンプライアンスのDSAR処理を示すことができない組織は、EDPBの執行の焦点がアクセス権に移行するにつれて、リスクが高まります。
第三者PIIの問題
DSAR応答の準備には、手動作業の負担を増加させる特定の複雑さがあります:第三者のPIIです。
データ主体が自分に関するすべての個人データを要求する場合、組織はその情報を提供しなければなりません。しかし、データ主体に関する記録には他の個人への言及が含まれている場合があります — 他の顧客に言及したカスタマーサービスのメモ、他の従業員の連絡先情報を含むメールスレッド、第三者に言及した苦情記録などです。これらの記録を要求するデータ主体に提供すると、第三者の個人データがその権利を侵害して公開されることになります。
コンプライアンスのDSAR応答には、応答パッケージ内のすべての文書を第三者のPIIについてレビューし、送信前にそれらの言及を匿名化することが必要です。月に300件のDSARを処理する通信会社の場合、各DSARには50件のサービスノートとコミュニケーションが含まれているため、これは月に15,000件の文書を第三者のPIIの言及についてレビューすることを意味します — DSARコンプライアンスのためだけに。
この規模での手動レビューは、記事12の1ヶ月のウィンドウ内では実行可能ではありません。3人のコンプライアンスチームでは、他の義務と並行して月に15,000件の文書をレビューすることはできません。唯一のスケーラブルなアプローチは、第三者のPII除去のために設定されたプリセットを使用した自動バッチ処理です。
バッチ処理アーキテクチャ
第三者のPII除去のために設定された「DSAR応答」プリセット:このプリセットは、文書内のすべての人名、連絡先情報、および識別情報を検出します。要求するデータ主体に明示的に属するもの(バッチジョブの開始時に名前とアカウント番号で特定される)を除いて、すべての検出された言及に匿名化を適用します。記録に名前が挙がっている他の顧客、サービスノートに言及された従業員、通信に言及された第三者は、データ主体の応答のために文書パッケージが組み立てられる前に匿名化されます。
1件のDSARリクエストあたり50件の文書を処理するのに数分しかかかりません。コンプライアンスチームは、初期レビューを行うのではなく、品質とエッジケースのために匿名化された出力をレビューします。DSAR応答時間は数週間から数日へと短縮されます。
出典: