2018年5月25日EU一般データ保護規則(GDPR : General Data Protection Regulation )が施行されました。GDPRは企業や組織がEU域外への個人データの移転を行うことを原則禁止し、違反した場合、多額の制裁金が科せられる大変厳しい規制です。その一方、5月24日付の日経新聞では日本企業の8割が対策を完全に終えていないと報道されています。こうした状況下において、企業がGDPR対応においてまず何をすべきなのか、取り組むべき優先事項を改めて解説します。
目次
1. GDPR対応における3つの優先事項
1-1 現在何も対応をしていない場合
現在、GDPR対応を何もしていない場合、まず個人データの取扱い状況(どこで、どんなデータを、誰が、どんな頻度で、どのようなデータ処理しているか等)を把握することが重要となります。
例えば、自社において既存顧客の社内データベースを使って、マーケティング部門が、メールマガジン等を定期的に発信する業務などは把握すべき対象に該当します。その際に、EU域内に拠点が無くてもEU域内の顧客に製品やサービスの提供をしている等何らかのEU域内個人データを取り扱っている場合、対象となる可能性があるため、注意しましょう。
自社内でEU域内の個人データ取扱いがある場合、早急に次の3つの優先事項を中心に経営者主導で進めることをお勧めします。
1-2 GDPR対応に向けた3つの優先事項
GDPRが施行された現在、対応が未完了及びこれから対応を行う企業組織向けに対応に向けた優先事項とその進め方について解説します。
2. 現状把握
まず企業組織が取り組むべき優先事項としては、自社内における個人データの現状把握が挙げられます。どんな個人データがどこにあり(データの保存場所等)、どのような流通経路でやりとり(国外とやり取りしている、誰がどのような方法でやり取りしているか等)をされているのか調査、把握する必要があります(データ同士を関連付ける「データマッピング」)。
また、いつ、誰が、どのファイルにアクセスしたかアクセス権限に基づく履歴管理が適切に行われていたかどうかの調査も必要になります。
2-1 対象となる個人データ
GDPR施行に伴って対象データに関する解釈や情報が様々出ていますが、GDPRの対象となる個人データは以下のように「個人を識別できる情報及び複数の情報を組み合わせることで個人の識別ができる情報」が対象となります。
<個人データの例>
・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子(IPアドレス、クッキー等)
・クレジットカード情報
・パスポート情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
2-2 データ所在地
上記の対象となる個人データがある場合、まず、自社で保有する個人データの保存場所を特定し、その際には自社内のみならず委託会社や海外の拠点があればこれらも含めて確認することが重要となります。
2-3 データのフロー
次に、個人データが自社内組織で、どのように流通しているか可視化します。例えばマーケティング部門で潜在顧客のメールアドレスがどのように収集され、どこに保管され、どのように活用、移転、変更、削除されているかフローでとらえることが重要となります。
2-4 アクセス権限
さらに、自社内で設定したポリシー、権限に基づき個人データへのアクセスが行われているか、また、閲覧履歴は適切に残されているか等の確認が必要となります。
3. 対応策の計画
対応策の計画段階では、企業組織におけるGDPRの責任者や対応組織、社内への教育、法令順守等に向けた推進体制の整備やプライバシーポリシーや個人データの取扱い手順等を定めるデータ保護方針の策定等を行います。
また、現状把握で行ったデータマッピングに基づき、適切な個人データ取扱いのプロセス策定を行い、個人データ漏洩時に、社内でのエスカレーションフローや関係当局へ速やかに通知するインシデント対応へのプロセス整備が必要となります。
併せてこうした現状把握、計画策定を通じて把握できた要件に基づきシステム対応の計画を実施することが重要となります。
3-1 推進体制
GDPR対応を進める上で、社内の各部門、必要に応じて海外拠点も交えたプロジェクト体制を整備しましょう。具体的には個人データの管理を担当する部署(リスク&コンプライアンス部門等)、個人データを取り扱う部門(営業、マーケティング、サポート部門等)、個人情報保護に関する法規定をアドバイスする部門(法務等)等からなる組織横断的なプロジェクトとして、プロジェクトをまとめる事務局、プロジェクトの責任者の選任等が必要です。
3-2 データ保護方針策定
従来の個人データの定義と異なる点に留意し、GDPR対応のプライバシーポリシーの策定を行い、社内への展開と外部向けに自社のホームページで公開する準備を行います。
また、併せて個人データの取り扱い手順等を定めるデータ保護方針の策定が必要です。
GDPR施行のタイミングでプライバシーポリシーを改訂し、ユーザーに告知をしている企業も増えていますが、以下のような項目は明確化する必要があります。
・データ処理の適法性に関する根拠
・いつ、どのように、何を、何のために情報を収集するのか
・データの保存場所、保存期間
・データ削除の対応(削除の基準や削除方法)に関すること
・どのようなサードパーティサービスを使っているのか
なお、プライバシーポリシーなどにより事業者がユーザー側に明示すべき項目は、GDPR 第13条(データ主体から個人データを取得する場合)、GDPR 第14条(データ主体以外から個人データを取得する場合)に列挙されています。(GDPR一般条項(和訳)※出典:一般財団法人日本情報経済社会推進協会)
3-3 インシデント対応
GDPRは情報漏えい発生時、72時間以内への関係当局への報告義務があり、違反した場合多額な制裁金の可能性があります。そうした状況に対応するために、インシデント発生時の社内エスカレーションフローの整備や、対応体制の整備が必要となります。
3-4 システム対応
現状把握のリスク分析を行い、その結果に基づき、社内システムの強化、改修に向けた計画を策定します。
4. セキュリティ対策
GDPRの対応を行う場合、社外告知や社内の実態把握、法務視点やリスクマネジメント視点の対応など多岐に渡りますが、ここではデータ保護を強化する視点からセキュリティ対策のソリューションについて解説します。
まず、企業組織のセキュリティのアプローチとしては、以下のようにデバイス・クラウド・運用(オペレーション)に分かれます。
その中でGDPR対応を見据えた場合のセキュリティソリューションとしては以下が挙げられます。
以下でそれぞれの役割について詳細をみていきます。
4-1 データの可視化(SIEM)
企業内において複数拠点がある場合、インシデント発生時に迅速に検知・情報の共有・連絡が必要となるため、リアルタイムにインシデントを検出し、フォレンジックのためのSIEM(Security Information Event Management)も有効な対策となります。
4-2 データの保護・制御(CASB)
さらに、オンプレミスからクラウドまでのハイブリット環境で個人データを取り扱っている企業組織が増えている中、個人データの存在場所の特定、個人データのモニタリング、アクセス制御をどのように実装していくのかが課題となりますが、CASB(Cloud Access Security Brokers)はクラウド環境におけるセキュリティ対策として有効です。
CASBはクラウドサービスと企業内のユーザーの間に位置し、ユーザーのクラウドサービスの利用状況を把握し、クラウドへのアクセス制御や暗号化・保護を行うソリューションとなります。
なお、GDPR対応としてCASBの支援領域は以下が挙げられます。
・クラウドサービスにアップされている個人情報の把握ができる。
・クラウドサービス内個人情報の保護ができる。
・利用されているクラウドサービスとその特性の把握ができる。
・認めていないクラウドサービスへの個人情報の保存を防げる。
・リスクのある行動の監視。
(参考:CSAジャパンブログページ)
4-3 データ流出防止(マルウェア対策製品、DLP、暗号化ソフト)
GDPR対応のセキュリティ対策として、サイバー攻撃(不正アクセス)によるデータ流出を防止するためにマルウェア対策としてエンドポイント向けのアンチウイルスソフトやメールやWEB向けのセキュリティ製品があります。情報漏えいが発生するケースとして、社員の不注意による情報流出も考えられますが、個人データを適切に暗号化して管理することにより、リスク等を回避できる可能性も高まります。
5. GDPR対応でぶつかる6つの疑問とその答え
5-1 そもそもGDPRとは何か?
GDPRは、1995年から適用されていたEUデータ保護指令に代わり、EU市民のデータプライバシーの保護・強化を目的に施行された新たな規制です。
個人情報の範囲が広がるうえ、個人がデータの消去を要求できる「消去の権利(忘れられる権利)」では、データベース本体やバックアップファイル含めすべて消去しなければならないことや、EU域外へのデータの移転が原則禁止されるなど、現在のデジタルに依存したビジネスへの影響も大きく、EUに拠点がない日本企業も対象になる可能性があることから各企業で影響範囲の特定や具体的な対応に迫られています。
5-2 GDPRの適用範囲はどこまでか?
GDPRはEU域外の企業も対象になります。自社はEU域内に支社がないといった場合でも、自社のWEBサイト経由でEU居住者の個人データを取得した場合は原則として対象になります。
5-3 違反した場合の罰則とはどのようなものか?
個人データの漏えいがあった場合、72時間以内にEU内の監督機関へ通知し、必要に応じて個人への通知もしなければなりません。違反した場合は、「2,000万ユーロ(約25億円)」または「その企業の全世界売上高の4%」のいずれか高い方の制裁金が科せられます。売上規模が小さくても、最低ラインの絶対額として2,000万ユーロという巨額の罰金を支払わなければならないことになります。
5-4 データ保護責任者の選任義務があるのか?
データ保護責任者(Data Protection Officer:DPO)は個人データの取扱い(処理・移転)に関して管理する責任者のような役割を果たします。全企業組織において選任が必須なのではなく、以下の選任条件を満たした場合に選任を義務付けています。(主にGDPRの適用対象になる公的組織や配慮が必要あるいは膨大な個人データを扱う組織が対象となります。)
【GDPR第37条抜粋】
管理者及び処理者は、次に掲げるいずれかの場合には、DPOを指名しなければならない。
・取扱いが公的機関又は団体によって行われる場合。ただし、司法能力をもとにした裁判所の行為を除く。
・管理者又は処理者の中心的業務が、その性質、適用範囲、目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合。
・管理者又は処理者の中心的業務が、第 9 条で言及された特別な種類のデータ及び第 10 条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合。
5-5 十分性認定とは何か?
EU加盟国より域外へ個人データを移転する場合、移転先の国・地域で個人データの十分な保護措置を確保している場合に限って、欧州委員会は審査し、認定することとなっています。これが十分性認定です。
日本は十分性認定に向けて協議を行い2018年の早期に認定を目指し活動していますが、2018年5月25日のGDPR施行開始時点ではまだ認定されていません。この状況下で日本企業が個人データを域外移転するためには、標準契約条項(SCC)の締結か拘束的企業準則(BCR)の承認が必要となります。本件に関しては2018年3月30日付のマカフィーブログ「GDPR|EU域外データ移転を適法化する十分性認定等の安全管理措置」にて詳細を記述しています。
一方、2018年4月25日付で、個人情報保護委員会から「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集が行われており、現在ガイドライン(案)が公開されていますので、早期の十分性認定を期待したいところです。
5-6 GDPR対応は結局どうすればいいのか?
まずは自社の現状把握を進め、GDPRに対応したプライバシーポリシーの改訂と公開は優先したいところです。組織全体としては上記1-2で解説したGDPR優先事項とその進め方の3ステップを進める必要があります。実務面でどこまで厳密な適用がされるのか不透明な部分もあるため、説明責任が果たせるように現状把握は最優先で進めて、タイムリーな情報収集を怠らないことが大切です。
6. GDPRの関連情報を受け取るためにチェックしておきたいサイト
GDPRは規定として適用が開始されたものの、まだ実際に違反の認定や制裁金を科されたケースがなく、どこまでが許容範囲で、どこを超えたら制裁を受けるのか解釈がグレーな部分もあります。当面は関連情報の収集を頻度を上げて行ったほうが良いでしょう。ここでは現時点で見ておきたいサイトや今後の情報キャッチアップのために定期的に確認しておきたいサイトを記載します。
<確認しておきたいサイト>
①「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
GDPRの意義、全体構造の概要と社内・社外の実務に焦点を当てた問題と対策がまとめられています。(出典:日本貿易振興機構)
②GDPR一般条項(和訳)
原文の日本語訳です。(出典:一般財団法人日本情報経済社会推進協会)
③GDPR対応プロジェクト簡易診断(KPMGコンサルティング)
自社におけるGDPR対応プロジェクトに重要な漏れがないことを点検することができます。
④経済産業省(企業への支援)まとめ
経済産業省と個人情報保護委員会が、EU域内でビジネスを行う日本企業のGDPR対応を支援するために作成したまとめ資料とその問い合わせ先です。
<定期的にチェックしておきたいサイト>
①個人情報保護委員会
域外適用に関する影響やデータ移転に関する情報などがまとめられています。
②JETRO(日本貿易振興機構)
GDPRに関連する情報が広くアップデートされています。
7. まとめ
GDPRが施行された現在、未対応の企業は第一にGDPR遵守に向けた現在の準備状況・今後の計画をしっかり立てることが重要となります。現時点で対応が未完了であっても、GDPRに関する説明責任を果たすことが出来れば即制裁金の対象になる可能性は低くなると考えられています。
GDPR対応については、自社内において経営者主導で推進体制を構築することが重要ですが、自社内のみで推進することが困難な場合、政府機関やコンサルティングファーム、セキュリティ会社等の外部有識者団体からの助言を得たり、同業界での情報共有・連携を行いながら推進されることをお勧めします。
