今さら聞けないGDPR対策を聞く――概要から基本原則まで最低限理解すべきこと

2017/11/01 06:05

通知

　EU域内の居住者の個人情報を保護するための規則「GDPR」が2018年5月25日に発効する。「EUなので関係ない？」と油断してはならない。日本企業でも関係する場合がある。制裁金はとても大きいため、万が一違反していたらダメージは計り知れないからだ。コンプライアンスリスクとして、どの企業もきちんと確認しておきたい。本稿では、プルーフポイント欧州・中東・アフリカ（EMEA）担当セイバーセキュリティストラテジストのアデニケ・コスグローブ氏に、GDPRの目的や基本的な考え方、対応方法について聞いた。

通知

EU居住者の個人情報を保護するための新しい規則があと半年で発効する

　「あと233日です（2017年10日3日時点）」と、コスグローブ氏は画面にカウントダウンを表示した^[1]。これは、EU一般データ保護規則（以下、GDPR）が発効する2018年5月25日までの日数である。もう半年と少ししかないわけだ。見過ごしていることはないだろうか。

　GDPRは、EU域内の居住者が自分の個人情報を管理できるようにするなど、個人情報を保護するための規則だ。この規則で保護される対象はEU居住者となるものの、EU居住者の個人情報を取り扱う企業であれば世界中のどこにあろうと、どんな業態であろうと、この規則を遵守する必要がある。

　GDPRに関して、制裁金の大きさは特に記憶にとどめておいたほうがいいだろう。制裁金は「年間売上の4％または2000万ユーロのいずれか高いほう」と定められている。2000万ユーロは、1ユーロ＝130円で換算すると26億円だ。これだけの経済的なリスクも大きいが、個人情報管理の不備が明るみに出た場合の評判低下というリスクも合わせて念頭においておかなくてはならない。

　現状を簡単に振り返っておこう。EUにおける個人情報保護に関するルールの始まりは1995年のEUデータ保護指令から。1995年の「指令」から2018年には「規則」に変わるということは、法体系で一段レベルが上がったことになる^[2]。

　1995年を振り返ると、まだインターネットが普及しはじめたころ。現在とはインターネットに出回る個人情報データの量も質も異なる。グーグルの創業が1998年、フェイスブックの創業が2004年、初代iPhoneの登場が2007年、Microsoft Office 365のローンチが2011年である。日常に欠かせないこうした企業やサービスは1995年にはまだ実在していなかった。

「この20年間で、何らかのインターネットサービスで取り扱われる個人情報やそれに紐付くデータは圧倒的に増えました。GDPRは、こうしたのインターネット環境を考慮して個人情報保護のためのルールを整備したものといえるのです」（コスグローブ氏）

この20年間で、何らかのインターネットサービスで取り扱われる個人情報やそれに紐付くデータは圧倒的に増えた

　なお、1995年にEUデータ保護指令が制定されて以来、EU加盟国は個人情報保護に関する法律やルールを各々で定めてきた。つまり、EU加盟国にはGDPRと似た目的の法律がすでにある。では、2018年5月に何が変わるのかというと、EU加盟各国の既存の法律がGDPRに置き換わるのだ。これにより、これまでEU加盟国間で微妙な差異があった個人情報保護に関するルールが統一されることになる。

（次ページへ続く）

注

[1]: TICK COUNTERの「TIME TO GDPRページ」

[2]: 法的拘束力の高さは、高いほうから「規則（Regulation）」「指令（Directive）」「決定（Decision）」「勧告（Recommendation）」「意見（Opinion）」となっている。

GDPR対応準備に役立つホワイトペーパー資料（無料PDF）のご案内

　ホワイトペーパー資料『GDPR対応戦略～新しいEUデータ保護規則に対する準備』（無料PDF、日本プルーフポイント提供）では、本記事でコスグローブ氏が紹介している「GDPRの7つの重要な原則」や「GDPR遵守へのステップ」について、さらに詳しく、具体的に解説を行っています。

　巻末には、GDPRへの対応準備ができているかを確認できる「GDPRコンプライアンスのチェックリスト」付き。実用でも大変役立ちます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。

▶ ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』のダウンロード

GDPRを理解するポイント〜この原則は最低限押さえておこう！

　インタビューでは、GDPRを理解するためのポイントをコスグローブ氏が解説してくれた。まずは役割だ。GDPRでは次図のように役割が定義されている。主な役割には、個人情報の保護対象であるEU居住者を意味する「データ主体」、EU居住者の個人情報を取り扱う企業などを指す「情報管理者」、そのデータ処理を請け負う「情報処理者」などがある。

　書籍販売オンラインサイトを例に取れば、書籍購入者には氏名や発送先などの個人情報を入力してもらうため、サイトの運営企業は個人情報を取り扱う「情報管理者」になる。また、この企業から委託されて書籍購入者のデータ処理を行うプロバイダーがあれば、そこは「情報処理者」だ。

　加えて、GDPRにはデータ処理プロセスを監視する「データ保護当局（DPA：Data Protection Authority）」がいる。DPAは、情報管理者や情報処理者がGDPRに則って個人情報を取り扱っているかを継続的にチェックしている。DPAはEU加盟各国に設置されており、EU居住者の個人情報を取り扱う非EU加盟国の企業（日本企業も含む）の場合、取り扱っている個人情報が最も多い国のDPAにチェックしてもらう。

　次に原則。企業はGDPRを遵守するために何を理解しておくべきか。コスグローブ氏は7つの重要な原則を挙げた。

1. 合法性・公平性・透明性、2. 正確性

　GDPRの目的を達成するため、つまりEU居住者が自分の個人情報を自身で管理できるようにするための、基本的な概念に関係する原則がこれらにあたる。

　例えば、個人情報を扱うには法で定められたように本人の同意が必要となる。もし、合意のもとに個人情報を収集した後であっても、本人が「私のデータを削除してほしい」と要求したら企業は削除に応じる必要がある。これは「忘れられる権利」でもある。

　本人は企業がどのように個人情報を所有しているか確認するために、個人情報のコピーを請求することもできる。また、企業が持つ個人情報のデータは正確で最新のものでなくてはならない。本人は不正確なデータなら訂正を求める権利があるとされる。

3. 目的の制限、4. データの最少化、5. 保存の制限

　企業が取り扱う個人情報は「目的に対して必要なものだけ」に制限される。最初に合意をとったときの目的以外には使用してはならない。これが目的の制限に当たる。

　保有する個人情報データの範囲も目的に必要な範囲にとどめておく。データを保存する期間も目的の範囲内にしておく必要がある。規則では個人データを必要以上に保有できないことと、保持期間を個人に通知しなければいけないと規定している。

6. 整合性と機密性

　個人情報のデータを取り扱うときには、システムで整合性（完全性）や機密性を保持するように適切に保護する必要がある。言い換えると、個人に関するデータは項目などがちぐはぐになることなく、暗号化や匿名化を施して保護する必要がある。

7. 説明責任

　企業は常に説明できるように心がけなければならない。どのようなポリシーで、どのような方策で個人情報を保護しているかを明文化して運用し、何かあれば説明できるようにしておく必要がある。

　日本の感覚だと意外かもしれないが、今のところGDPRには、日本の「プライバシーマーク」のような、ルールに適合していることを証明する認定マークの類がない。誰かがお墨付きをつけてくれるわけではないということだ。そのため、適切なポリシーを策定し、文書で明文化してしておくことが重要なのである。

　その上で、「トラブルが発生したときにはその文書を提示して、ルールに適合した対応を取っていることを証明することになります」（コスグローブ氏）

（次ページへ続く）

GDPR対応準備に役立つホワイトペーパー資料（無料PDF）のご案内

　ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』（無料PDF、日本プルーフポイント提供）では、本記事でコスグローブ氏が紹介している「GDPRの7つの重要な原則」や「GDPR遵守へのステップ」について、さらに詳しく、具体的に解説を行っています。

▶ ホワイトペーパー資料『GDPR対応戦略〜新しいEUデータ保護規則に対する準備』のダウンロード

GDPR遵守へのステップは「特定、計画、保護、強化」

　では、GDPRに対応するというゴールに到達するために、具体的にはどう進めていけばよいか。基本的な流れとして、コスグローブ氏は「特定、計画、保護、強化」を挙げる。まず個人情報の取り扱いに関して現状を「特定」し、GDPRに遵守するためにするべきことを「計画」する。それから、規則の対象となる個人情報を「保護」し、さらに完全性を高めるように「強化」していく。

特定: 企業が持つ個人情報に関するデータの棚卸しを行い、可視化を行う。企業が保有する全てのシステムだけではなく、全てのチャネルやデバイスも含めて把握する。全てのデータに対してどのような保護を行うべきか分類していく。
計画: やるべきことの計画を策定する。緊急性に応じて、どのような日程で対処を進めていくかロードマップを定める。個人情報の運用計画だけではなく、インシデントが発生した時の計画も立てておくことも忘れてはならない。GDPRでは企業は情報漏えいが発覚してから「72時間以内」に監督機関に報告することが義務づけられているためだ。
保護: 個人情報を扱うときのプロセスが適切となるように、機密性を適切に保持できるようにシステムに必要な処理を追加または修正する。また「データ保護責任者（DPO）」と呼ばれる役職を定めておくことも規定されているため、人事や組織体制として対応すべきこともある。
強化: 実際に遵守のための方策をとったとしても安心してはならない。定期的に見直して有効性を確認し、さらに強化していくことも将来的には重要だ。

＊　　　　　＊　　　　　＊

　GDPRはEUが制定し、EU居住者の個人情報を保護対象とする制度なので、日本からはなかなか把握しにくいところもある。しかし、日本企業であろうとも、EU居住者の個人情報を取り扱うならば適切な保護をすることが求められている。制裁金は大きく、報告は72時間以内と定められており、きちんと準備しておく必要がある。あと半年。今一度、見落としがないか確認しておこう。