PIPL-中国の個人情報保護法(11月1日施行)と企業に求められる対策

GDPRGeneral Data Protection Regulation)について、ご存知の方も多いと思います。EU全域で20185月から適用された法律です。企業が実施する個人情報保護の方法、特に個人情報の処理方法を規制し、個人情報保護を個人がより細かくコントロールし行使する権限を付与することを目的としています。

GDPRは、データの保存場所、使用方法、保持期限、また、それを個人へ報告する方法、データの訂正依頼や削除依頼に関して、企業が理解するためのプロセスを導入するよう、企業に対して要求したフレームワークです。

EU域内でビジネスを行う企業に限定して適用される法律ではありません。これは、GDPRの要であるにもかかわらず、しばしば誤解されている重要なポイントです。EU居住者(市民)の情報を保管する世界中の企業がこの規則を順守する必要があり、重大な違反があれば多額の罰金が科せられます。GDPR導入以降に罰せられた上位5社だけを見ても、数億ドルの罰金が科せられました。実効性を持たせることによって、法の順守を促進させています。

GDPRの最大の成果は、EU居住者の権利の保護に限らず、世界の企業の個人情報保護に対する意識が向上し、積極的に取り組む可能性が高まるという点でしょう。GDPRが新たなグローバルスタンダードを設定し、各国の政府が検討し議論している同様の多くの施策の手本となっています。

では、PIPL(Personal Information Protection Law)についてご存知の方は、どのくらいいらっしゃるでしょうか。20218月、中華人民共和国の最高立法機関である全国人民代表大会の常任委員会は、2021111日からこの法律を施行することを議決しました。PIPLGDPRには、多くの類似点があります。中国国民に関連するデータを保管する場合には、世界中で適用されるということが重要なポイントです。世界中でビジネスを展開している企業が、中国籍保有者と取引を行う場合、会社の所在地や本社の所在地に関係なく、この法律が適用されます。

GDPR対策で実施しているプロセスの多くはPIPLに適用可能ですが、対象となるデータが異なります。当社のMVISION Unified Cloud EdgeMVISION CloudEndpoint DLP、 Network DLPといったデータ保護製品を利用することで、PIPLに関連するデータの保管場所と使用方法の特定が可能になります。中国居住者のIDカード、パスポート番号、携帯電話などのデータ分類/データ識別子は、クラウドとオンプレミスで保管しているデータから特定が可能です。さらに、独自のマルチベクトルなデータ・エクスフィルトレーション保護機能(詳細をご覧ください)を用いて、本来、保存するべきではない場所に機密性の高いPIIデータを保存するといったことが起きないようにアシストします。

中国のPIIを識別(管理コンソールの画面):

個別の製品でビジネスを「PIPL準拠」にすることはできませんが、当社の製品Data Protection Suiteは、目標達成を支援する重要なツールボックスの一部を担うと言えます。PIPLの導入以前から、長期にわたりこの機能を実装していたという事実は、GartnerがMVISION CloudをCASB Magic Quadrantのマーケットリーダーに選んだ理由、そしてForresterがForrester Wave ™ Unstructured Data Security Platformsのリーダーに選んだ理由を示すデータポイントと言えます。

11月まで残すところわずかとなりました。PIPLの対策についてまだご検討されていない場合は、優先的な対応が必要です。当社の中国版PII分類をテストして、有効にすることをご検討ください。もし、この機能を提供していない他のベンダーの製品をお使いの場合は、当社のMVISION Unified Cloud Edgeソリューションが、すでにほとんどの企業が実施しているクラウドファーストのデジタルトランスフォーメーションのみならず、この課題に対してご提供できる解決策について、ぜひご確認下さい。