EU一般データ保護規則(GDPR : General Data Protection Regulation )の施行が2018年5月25日に迫っています。施行まで残り3か月となった現在、企業がとるべきGDPR遵守に向けた留意点とセキュリティ対策について解説します。
1.GDPRとは?
GDPRはEU市民のデータプライバシーの保護・強化を目的に、1995年から適用されていたEUデータ保護指令に代わり適用開始が予定されています。GDPRは個人データの「処理」と「移転」に関する法的要件を規定しています。GDPRはEUで施行される法律ですが、EUの個人情報を扱う全ての企業が対象となり、日本企業も対象となります。これはEUに拠点のある日本企業はもちろんのこと、日本国内よりEU向けにビジネスを行っている企業も対象となる点に注意が必要です。
2.EUデータ保護指令からの主な変更点
2-1 適用範囲の拡大
GDPRでは「個人データ」とは、個人を特定する氏名や住所だけではなく、個人を特定され得る全ての情報(IPアドレス、クレジットカード番号、従業員番号等)が対象となります。よって、どのような情報が個人データに該当するのか判断し、適切に対処することが求められます。例えば、EUに拠点を持つ会社の場合、EUにおける顧客情報はもちろんのこと従業員情報等が含まれます。また、GDPRはEUの規則ですが、EU域外の企業組織であっても、EU域内の個人に対して商品やサービスを提供する場合も適用(域外適用)となるので注意が必要です。例えば、EU在住の一般消費者よりオンラインショップ等を通じて注文を受けている国内企業も対象となります。
2-2 企業の説明責任
GDPRでは個人のプライバシー権を重視する方針が強化されており、企業は個人データ取得や処理に関する新たなルールや規制事項への対応が求められます。例えば「忘れられる権利」では、個人が企業に対し自身の個人データを消去することを要求できる権利があります。また、以下のいずれかの場合には、データ保護責任者(DPO : Data Protection Officer)を選任する義務があり、これまで以上に企業の説明責任が問われることになります。
(1) 処理が公的機関または団体によって行われる場合(ただし、司法上の権限に基づく裁判所の行為を除く。)
(2) 管理者または処理者の中心的業務が、その性質、適用範囲および/または目的によって、大規模にデータ主体の定期的かつ体系的な監視を必要とする処理作業である場合
(3) 管理者または処理者の中心的業務が、GDPR9条で言及された特別カテゴリーの個人データおよびGDPR10条で定める有罪判決および犯罪に関する個人データを大規模に処理する場合
(4) EU法または加盟国の法律でDPO選任が要求されている場合
2-3 制裁の強化
GDPRは違反した企業への罰則規定が強化されており、企業はGDPR施行に向けGDPRに対応する準備と対策が必要となります。例えば、個人データの漏洩が発生した場合、企業は72時間以内に関係当局に連絡しかつ漏洩したデータの対象者に通知することが義務づけられています。この義務内容に違反した場合、最大で年間売上高の4%または2000万ユーロ(約26.6億円-2018年2月12日現在1ユーロ133円)のいずれか高い方が制裁金として科せられることになります。ここで罰則規定について理解しておきたいポイントは、GDPRへの準備が完了していない状態で施行日を迎えたとしても、GDPR遵守に向けた現在の準備状況・今後の計画に関して説明責任を果たすことが出来れば即制裁金の対象とならないということです。
3.GDPR遵守に向けたプロセス
3-1 現状把握
GDPR遵守に対応するためにEU内で事業を行う(顧客または従業員のデータを収集、保存、使用する)組織はGDPRの理解を深める必要があります。マカフィーが2017年4月~5月に実施した調査(※)によると5000人以上の従業員のいる組織では、最低限理解しているか全く理解していないと回答した人は19%もいました。
(※米国、英国、日本、ドイツ、フランス、シンガポール、オーストラリア、ブラジル8か国の従業員数500名以上の組織の上級管理者800名からの回答より)
また、企業が保有する個人データの棚卸しを行い、どこにどんなデータが保管され、誰がアクセスしているか?等々把握する必要があります。組織の「データはどこに?」というマカフィーの調査結果によるとデータの保管場所を常に把握していると回答した人は47%でした。
その上で全てのデータに対してどのような保護を行うべきか検討し、対応策を具体的に検討していく必要があります。
<マカフィー調査レポート>
GDPR 対策 競争力のあるデータ保護 レポートダウンロードはこちら
3-2 対応策の計画
残された期間において、有効な対応策を計画するために、企業はリスクや緊急性に応じて対応策を進めていく必要があります。 単に、組織内において個人情報の運用計画を立てるだけではなく、万一インシデントが発生した際の対処法も計画する必要があります。先述した通り、GDPRでは企業は情報漏えい発生後、「72時間以内」に関係機関に報告することが義務づけられているためです。
3-3 対策の実施
GDPR対策を進める上で、企業・組織は、ガバナンス、人、プロセス、技術の4つの能力強化が必要となります。ここではサイバーセキュリティ(技術)についていくつか解説します。情報漏洩が発生するケースとして、社員の不注意による情報流出が考えられますが、個人データを適切に暗号化して管理することによって、罰金リスク等を回避できる可能性が高まります。また、PCやサーバーに対するマルウェア対策はサイバー攻撃(不正アクセス)による情報流出防止に効果があります。
一方、企業内において複数拠点がある場合、インシデント発生時に迅速に検知・情報の共有・連絡が必要となります。リアルタイムにインシデントを検出しフォレンジックのためのセキュリティ情報とイベント管理システム(SIEM)も有効な対策となります。
また、最近ではクラウドサービスを活用している企業も増えています。国内調査会社のデータによると2018年における国内クラウド市場は2兆円を超えると予想されています。クラウドを活用する企業において、いつ、誰が、どのファイルにアクセスをし、どのクラウドサービスに個人情報をアップロードをしたか?
またどのようなクラウドサービスにアクセスしているか把握する必要があります。クラウド活用企業がクラウド内のデータを制御できるようにするためのソリューションとしては、CASB(Cloud Access Security Broker)があげられるでしょう。CASBはクラウド利用の可視化や制御を行うオンプレミスで言うSIEM、DLP、暗号化対策のトータルソリューションとなります。
4.まとめ
GDPR施行まで3か月となった今、改めて企業・組織内におけるGDPR遵守に向けた対応状況を確認し、対応計画の策定と対策の実施を行いましょう。特に対策のポイントとなるガバナンス、人、プロセス、技術については、自社で対応が難しい場合、監査系のコンサルティングファームやサイバーセキュリティ専門企業に相談するとよいでしょう。
著者:マカフィー株式会社 マーケティング本部
