【情シス基礎知識】おさえておくべきGDPR対応
ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の個人データについて、当該個人には安心を求める権利を、データを扱う企業には義務を課しています、一見、情シスには関係なさげに見えますが、実は対応を検討すべきことが多々あります。概要や対策を見ていきましょう。
この記事の目次
【重要】GDPRは、日本にも関係ある個人データ保護規制の超ビックウェーブ!
2018年5月25日にEUが施行した「GDPR(General Data Protection Regulation=EU一般データ保護規制)」。EU加盟28カ国にノルウェー、アイスランド、リヒテンシュタインを加えたEEAの「個人データ保護規制」で、EEA域内に所在する人(居住者、域外から出向の従業員、出張で訪れたビジネスパーソンや旅行者)が対象です。
GDPRの施行は世界中で大きなニュースになりました。そのインパクトの理由が罰則です。規制違反には罰金が課せられていて、その額なんと日本円にして「24億円(2,000万ユーロ)」。
でも、遠く離れた国の規制だからか、日本ではあまり認知度が高くない様子。トレンドマイクロが法人組織の意思決定者・意思決定関与者998名を対象に調査した『EU一般データ保護規制(GDPR)に対する実態調査(https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180517-01.html)』の結果発表では、全体の「66.5%」、情報システム責任者については「56.7%」がGDPRを理解してないとのことです。
一方、多数の日系企業がEU圏に進出しているのは既知の事実。東京商工リサーチの『日系企業のEU進出状況(https://www.tsr-net.co.jp/news/analysis/20170421_01.html)』の調査結果によれば、1,242社が進出、1万3,072拠点を構えているそうで、これらの企業がGDPRの影響を受けることは明らかです。加えて、ビジネスは今やグローバルが当たり前。今後EU圏へのサービス提供を考える企業も増えると思われますが、GDPRは、EEA域内だけのことだけではなく、「域内へ日本からサービスを提供し個人データを扱う場合」も対象になります。
そこで今回はGDPRがテーマ。情シスが知っておくべきGDPRのことやその対応について解説していきましょう!
*概要は「情シス三段用語活用」でも取りあげているので、ぜひチェックしてみてくださいね
【おさらい】これだけは覚えておきたいGDPRのアレコレ
GDPRをわかりやすく
EEAに所在するあらゆる個人(データ主体という)の「個人データ」を、基本的人権として保護するために、「個人の権利」と「法人の義務」が定められています。
<個人データとは?>
・氏名
・認識番号
・住所
・メールアドレス
・オンライン識別子
・身体的、生理学的、遺伝子的、精神的、経済的、文化的固有性に関する要因
<個人の権利とは?>
・「通知と同意の権利」
個人データを扱うことをデータ取得企業から通知を受ける権利
・「同意の権利」
個人データをデータ取得企業が扱うことを同意する、または同意を取り消せる権利
・「忘れられる権利」
提出した個人データの一部またはすべての消去を要求できる権利
・「訂正する権利」
提出した個人データの訂正を要求できる権利
・「個人データへのアクセスする権利」
提出した個人データがどのように扱われているか、その複製データを請求できる権利
など
<法人の義務とは?>
・「説明責任」
個人データ保護の「適法・公正・透明性」「目的の限定」「データの最小化」「正確性」「保存制限」「完全性・機密性」において、個人データ取得者はどのような方法で保護しているかを明文化し、当該個人に対し説明しなければいけない
・「目的の制限」
扱う個人データは、当該個人から同意を得た「目的以外」に使用してはならない
・「データ最小化」
扱う個人データは、目的に必要な範囲にとどめなければいけない
・「完全性・機密性」
扱う個人データの保護は、完全性・機密性が保たれるよう、暗号化などを行い適切に保護しなければならない
など
!チェックポイント!
データ主体の個人データを扱う際、上記のような個人の権利と企業の義務が発生します。また、義務を負う企業などは、上記義務を満たすだけでなく、欧州データ保護委員会が設置する各国の監督機関の承認を受ける必要があります。加えて、EEA域外で個人データを扱う場合、データ規模に応じて「データ保護責任者(Date Protection Officer=DPO)」の設置も必須です。
【情シス】GDPRへの対応はなにをすればよい?
では、情シスとしてどんなことを検討・対応しておけばよいのでしょうか? 最低限考えられる事項としては以下の5項目が挙げられます。
①「DPOの選出」
DPOは扱うデータ規模により設置が求められる、企業とデータ主体、監督機関をつなぐハブのような存在です。データ主体からの権利要求に対応したり、違反発覚時に監督機関へ報告を行ったり、またデータ主体からデータを取得する社内の管理者やそのデータを処理する処理者の監督を行います。加えて、会社の事業がGDPRの個人データに関係するかどうか、どんな目的で活用されるか、保存期間はどのくらいかを評価する「プライバシー影響評価」も担当します。IT・法務・ビジネスに対し知識を持つ人材が求められますが、選出は社内からでも、アウトソーシングでも構わないとされています。
②「リスク評価」
個人データの属性を検証し、データ処理にかかる取り扱いリスクを精査します。顧客データか従業員データか、またはどの範囲のデータを扱っているのかなどを確認し、それぞれの重要度をパラメーター化しておきます。
③「処理にまつわるセキュリティ対策の決定と振り分け」
個人データの重要度を選別したのち、たとえばレベル1では「社外へデータ送付時のパスワード設定」や「データを保存したPCの離席時のログオフ」など、レベルに合わせたセキュリティ対策を決定していきます。
④「個人データの保管先をすべて把握」
GDPRには「忘れられる権利」があり、データ主体はデータを提出後に「データの削除要請」を行うことができます。そこに迅速に対応できるよう、すべての個人データの保管先を把握しておきます。
⑤「情報漏えい発覚から報告までのフローを整備」
情報漏えいからプライバシー侵害が生じた際、企業はその発覚から72時間以内に「データ主体」と「監督機関」に報告しなければいけません。迅速に対応できるよう、発覚から報告までのフローを整備しておきます。*適切に個人データの暗号化が行われていた場合、データ主体への報告は免除されます
⑤「GDPR対応のシステムの導入・改修」
これまでは、セキュリティに関する検討事項に触れましたが、コンプライアンスへの対応も必要です。たとえば、EEAに向けたWebサービスで個人データを取得する場合、サービス上でデータ主体の同意を得られたと確認できる「同意ボタン」や「チェックボックス」を導入する必要があります。それに加え、同意の記録を保存しておく機能も必須です。
【知っておく】「データ移転」と「十分性認定」
最後に、日本の企業が対応を求められる「データ移転」について紹介しましょう。
データ移転は「EEA域外でデータ処理を行う」ことを指し、国内企業の場合、以下2つのケースが考えられます。
この移転について、GDPRでは原則禁止とし規制を設けています。しかし、EUと同等のデータ保護対策を講じていると認定された場合、規制の一部が緩和され移転が可能になります。これを「十分性認定」といいますが、2018年8月現在、日本は十分性認定国ではありません。しかし、最近では秋口にはほぼ認定される見込みとのニュースが発表され、動向に注目が集まっています。ただし、認定後に一部規制緩和されるとはいえ、これは国レベルでの話。十分性認定により、データ移転での対応が不要になるということではないので、注意が必要です。
【執筆:編集Gp 坂本 嶺】
https://josysnavi.jp/josys-words061_gdpr