GDPRがITサービスデスクに及ぼす影響

...ServiceDesk PlusでGDPRに対応する方法とは

一般データ保護規則(GDPR:General Data Protection Regulation)は、EU居住者の個人情報やプライバシーの保護を目的として2018年5月25日に施行されました。GDPRでは、個々または複数のデータを組み合わせて「個人」を特定できるデータは個人情報(PIIデータ)である、と範囲を明確に定めています。EU居住者の個人情報を収集している組織は、組織の所在地がEU域外であったとしてもGDPRを遵守しなければなりません。

つまり、ITサービスデスク活動においても、個人情報を収集、保管、処理している場合にはGDPRの範囲で行わなければなりません。ITサービスデスクで通常業務で利用すると考えられる個人情報は以下のとおりです:

  • 顧客とスタッフの氏名、住所、電話番号、メールアドレス
  • 現在の役職、部署、就業履歴などのスタッフ情報
  • ユーザー名、役職、座席番号等が登録されたインシデント、サービス要求、問題、変更履歴
  • 携帯電話の端末に割り振られたIMEI番号のような、スタッフに配布された機器の情報
  • 顧客とスタッフに提供された技術的なサポート内容
    例:障がいのある従業員が使用したスクリーンリーダー、音声認識のような福祉機器などに関する情報

ServiceDesk PlusでGDPRに対応する方法

ServiceDesk Plusは、GDPRに対応した機能をリリースいたしました。

テンプレート内でPIIフィールドの設定が可能に
  • (1)個人情報フィールドに対応:利用したいフィールドをテンプレートとして追加する際に、フィールドを「個人情報」として設定することが可能です。本設定により、その他データと個人情報を簡単に識別することが可能になります。
GDPR-ready help desk system
 
GDPR compliant service desk
  • (2)消去の権利(忘れられる権利)に対応:GDPRでは、個々人に対して「忘れられる権利」を保証しています。つまり、ユーザーは組織に対して個人情報の削除、また、データの匿名化を要求することが可能です。しかし、業務プロセスとの衝突やその他ルールに違反してしまうことがあります。そこでServiceDesk Plusを活用することにより、製品内に保存されているユーザー名を匿名化し、その他個人情報を完全に削除し、忘れられる権利に対応することが可能になります。
センシティブデータの暗号化 :
  • (3)センシティブデータの暗号化に対応 : センシティブデータの保護は、GDPRの重要なポイントです。この規則に対応するため、ServiceDesk Plusでは、リクエスト(インシデント、サービス要求)の追加フィールドにて収集、保管されたセンシティブデータを暗号化することが可能です。シングルライン、マルチライン、ピックリストフィールドの暗号化が可能です。
バックアップデータをパスワードで保護 :
  • (4) バックアップデータの暗号化に対応 : ServiceDesk Plusのバックアップファイルは、不特定多数の人間がファイルを開いたりリストアすることができないよう、パスワードにより保護しています。
削除済みのユーザー
 
削除したユーザー情報の匿名化 :
  • (5)削除したユーザー情報の匿名化に対応 : ServiceDesk Plusから削除したユーザーを、削除済みのユーザー一覧より匿名化することが可能です。
ServiceDesk Plus評価版ダウンロード(日本語ページ)
GDPRに関する情報、どのように遵守すればいいか。
ManageEngineが提供するGDPR関連コンテンツ