セキュリティ情報

2017/11/20

EUにおける個人情報保護の規制強化
-日本企業も2018 年5 月までに「GDPR」への対応が必要

● いま注目されている「GDPR」とは何か?

最近、企業の個人情報保護に関連して「GDPR」というキーワードを耳にする機会が増えているが、その実態はどのようなものかご存じだろうか?

「GDPR」は、「EU General Data Protection Regulation」の略だ。日本語では「EU一般データ保護規則」等と訳されているが、EU域内の個人データをEU域外に持ち出すことを厳格に制限する法律で、EU加盟国全てに適用される。

EU加盟国で適用されるにもかかわらず、なぜ日本国内でも注目されているのか。それはGDPRが多くの日本企業のビジネスにも少なからず影響を及ぼすからだ。そのことを理解するために、GDPRの概要から説明する。

この「規則 (Regulation)」は2016年4月14日に欧州議会で可決された。2018年5月25日より施行される予定で、2017年はまさにその準備期間まっただ中だ。EUの個人データを扱うあらゆる企業や組織は、施行日までに対応を終える必要がある。

これまでの経緯を見ると、EUは従来、1995年に成立した「EUデータ保護指令 (EU Data Protection Directive 95/ 46/ EC)」に基づいて個人情報を保護してきた。これは法律ではなく、あくまで「指令(Directive)」であり、各加盟国に対して個人情報を保護するための法律制定を義務付けるものだった。そのため、28の国ごとに独自のばらばらな解釈による法律が制定され、EUで活動する企業や組織は、各国ごとに異なる法律を遵守しなければならない複雑なオペレーションが求められてきた。

今回のGDPRが施行されれば、EU域内で統一されたひとつの法律に従えばよくなるため、個人情報保護に関する対応が以前と比べて比較的容易になると期待されている。


図版1:2018年5月25日から「データ保護規則(Regulatio)」として施行される。もう1年を切った

● 広範な適用範囲、巨額の罰金、72時間以内のインシデント報告義務

その一方で、「規則(Regulation)」であるGDPRには、「指令」とは大きく異なる特徴もある。EU向けに個人情報保護の対応を進めてきた企業や組織に限らず、域外であってもEU内の個人と関わりを持つあらゆる企業に大きな影響を与える可能性がある。ここが重要なところだ。

GDPRの注意すべきポイントを三点挙げてみよう。ひとつ目は、「適用範囲が広範」であることだ。

これまでの「指令」ではEU域内に物理的な施設を持つ企業、組織のみが対象であったが、GDPRではそれに加え、EUの個人データを取り扱うEU域外の企業や組織も対象となる。

例えば、EU域内に拠点やシステムを保有していなくとも、EU域内の個人に向けて商品やサービスを提供する日本企業は、GDPRの適用対象とされる。通信販売、旅行予約、オンラインゲーム、製品・機器の保守サポート等、多くの企業が影響を受ける可能性があるわけだ。GDPRの適用範囲については、個々の状況に応じて慎重に確認する必要があるだろう。

二つ目のポイントは、「違反時の罰金」だ。GDPRでは、違反した情報の種類や数量、影響度に応じて制裁金が課せられるが、特に注目すべき点はその上限額だ。違反を犯した企業において「グローバル全体の年間総売上金額の4%」または「2000万ユーロ(約26億円:2017年11月10日のレートで換算))」のいずれか高いほうとかなり高額に設定されている。仮にグローバルで総売上が1000億円の企業の場合は、最高で40億円の制裁金が課される可能性がある。

三つ目のポイントは「報告義務」である。取り扱う個人データの漏えい等のインシデントが発生した場合は、判明後72時間以内に監督当局に届け出なければならない。一般的に、情報漏えい事故の原因調査は、数週間から数ヶ月を要するとも言われている。もし、72時間以内に迅速な初期報告を行える体制を整えるならば、既存のインシデント対応や報告手順の見直しが必要になるだろう。

● 日本の個人情報保護法への対応との大きな違い

日本の企業や組織がGDPRへ対応する場合、上記で説明したポイントに加え、「データの域外への移転」についても注意しなければならない。

GDPR施行後は、EU域内の個人データを「域外に移転」する際、移転先の国や企業組織で十分なデータの保護措置が行われていることの認定を受けなければならない。この「移転」には、単に持ち出すことを指すのではなく、EU域外からリモートで域内のデータにアクセスし、画面表示するといったことも含まれる。

2017年の時点で、日本は包括的な認定をEUから得られていない。そのため、日本の各企業や組織は当面、それぞれ個別に認定を受ける必要がある。具体的には、関連企業や組織間、あるいはグループ内でSCC(*1)と呼ばれる契約を締結したり、BCR(*2)と呼ばれる内部規則を定めることで当局の承認を得る、といった手続きを行うことになる。自社内の拠点がEU域内、域外の両方にあり、それら拠点間で個人データを移転する場合にも同様の対応が必要となるため、注意が必要だ。

(*1) SCC: Standard Contractual Clauses。標準契約条項と訳される。
(*2) BCR: Binding Corporate Rules。拘束的企業準則と訳される。

● GDPR対応作業の進め方と実施すべき対策の柱

GDPRへ対応する場合、GDPRの要求事項を踏まえ、自社内のEU個人データの保有状況や利用状況を洗い出すためのアセスメント作業を行わなければならない。
具体的には、GDPRの要求事項と自社の現状を比較した上でギャップをリストアップし、影響や優先度の評価に基づいて対策の計画を策定する。

図版2:GDRPへの対策は「アセスメント」、「対策の計画」とステップを踏んだ上で対策の実施に移す必要がある

システム面から実施すべきおもなポイントを挙げると、
(1)EUの個人データが定められた範囲内で保管・利用されていることを確実にするデータ保護措置の実施
(2)サイバー攻撃等による情報漏えいを迅速に検知して対応するための監視および緊急対応態勢の整備
(3)データ保護やインシデント検知・対応の前提となる社内全体のセキュリティ管理を確実にするためのガバナンスの整備
の以上3点となる。
(1)の要件に対しては、Data Loss Prevention (DLP)等のデータ調査ツールを用いて継続的にスキャンを行うことで、社内に散在する個人データの全体を掌握することが可能だ。
(2)の要件に対しては、Managed Security Services(MSS)等の監視サービスを用いることで効率のよいインシデント対応態勢を構築できるだろう。
そして(3)に対しては、Control Compliance Suite(CCS)等のIT GRCツールを活用すれば、全社的なセキュリティ対策の実施状況を一元的に把握できる。少ない人員でもGDPRの要求事項に対するコンプライアンスの状況を管理できるようになる。

図版3:増加する規制へ対策は、セキュリティに関する要件を踏まえた上で課題を抽出し、適切なソリューションを選びたい

一見複雑な対応が求められるGDPRだが、システム面では適切なソリューションを適所で活用することにより、スムーズに対応することができる。ぜひ、検討してみていただきたい。

セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。