GDPRに向けたセキュリティとは? 1

TICK COUNTER」では日々、ある数字が動き続けています。

「TIME TO GDPR」。

今年の5月25日に施行される、欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation)」へのカウントダウンです。一見EU内の事情に関連する規則のようで「関係ない」と思うかもしれませんが、実はGDPRは世界中の企業に影響します。そして、その関連情報が日本のメディアでも度々報道され、違反した場合の巨額の制裁金も相まって、最近より一層注目を集めるようになりました。

GDPRとは

GDPRは、市民の個人情報保護を目的としています。中でも画期的なのが、「忘れられる権利」を規定している点です。これは、自分自身に関わるデータを企業のデータベースなどから消去させる権利のことです。元々多民族が共存しているEUでは、1995年のEUデータ保護指令を発端として、個人情報保護に関する議論はなされてきました。それが2018年になり、「規則」に変わるということで、企業はより厳密に個人情報を扱うことが求められるようになったと言えるでしょう。その背景には、インターネットの爆発的な広がりやFacebookをはじめとしたSNSの普及などがあります。個人情報の量も質も大きく変わってきたのです

EU各国にはすでにGDPRと似た目的の法律が存在します。ところが5月の施行により、各国で微妙に差異があった個人情報保護に関するルールが統一されることになるのです。GDPRとその制裁について、Gartnerでリサーチディレクターを務めるバート・ウィレムセン氏はこのように指摘しています。

「GDPRはEUに本拠を置く組織だけでなく、データの管理や処理を行う世界中の多くの組織に影響する。新たに『データ主体』としての個人に焦点が当てられており、GDPRに違反した場合は2000万ユーロ、または全世界の年間売上高の4%のいずれか高い方を上限とした制裁金を科される恐れがあることから、組織にとって個人データの安全な処理方法を見直す以外の選択肢はほとんどない」

参考資料:EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題

制裁金はかなりの額になっており、日本に本拠地を置く企業も、もはや「EUだけに関係すると思っていた」では済まされません。しかしながら、企業のGDPRに向けた対策は十分行われていると言えるのでしょうか。

GDPRに向けた対策は十分?

2017年にVeritas Technologyが調査を行い、公開したレポートでは、このようなことが明らかになっています。

調査結果から、「多くの企業は、GDPRに対応済みという認識を“勘違い”している実態」が明らかになったという。本レポートによると、「既にGDPRの対応を済ませ、主要な法的要件も満たしている」と回答した企業は全体の31%を占めた。しかしその状況を掘り下げると、GDPRの要件を満たす対策が万全だった企業は、そのうちわずか2%にすぎなかった。つまり、「多くの企業は、規制への対応を誤解している」とVeritasは警鐘を鳴らす。例えば「対策済み」と回答した企業の48%が、個人データの流出を検知するために必要とされる「可視性」を十分に備えていなかった。また、同じく61%の企業は「個人データの侵害を、72時間以内に特定して、報告する」のは大変だと回答した。その他、「GDPR対策は万全」と回答した企業の50%が、「データアクセス権限の管理は万全とはいえない」と回答した。

参考資料: 世界中の企業が、自社のGDPR(EU一般データ保護規則)対策を「勘違い」している──Veritas調査

様々な企業でデータの漏洩等の問題が発覚し、報道されることがあります。GDPRにおいては、個人という観点では権利が強まり、「守られている」ということになりますが、個人情報を扱う企業にとっては、罰則は倒産の危機にも繋がりかねません。では、実際に企業はGDPRに向け、どのような対策を打つことができるのでしょうか。ここを理解するには、まずGDPRの仕組みから把握することが必要になります。

 

GDPRでの役割

GDPRには、主な役割として個人情報を保護されるEU居住者である「データ主体(Data Subject)」、EU居住者の個人情報を取り扱う企業である「情報管理者(Controller)」、そのデータの処理などを請け負う受託企業などの「情報処理者(Processor)」があります。さらに、データ処理のプロセスを監視する「データ保護当局(DPA:Data Protection Authority)」が存在し、企業がGDPRのルールを違反していないかをチェックしています。DPAはEU加盟国内に設置されており、EU居住者の個人情報を取り扱う日本のような非EU加盟国の企業の場合、取り扱っている個人情報が最も多い国のDPAによってチェックされる形になります。

次回は企業が打つべき対策について書いていきます。