GDPRに向けたセキュリティとは? 2

前回はGDPR(General Data Protection Regulation、一般データ保護規則)とは何か、その制裁や仕組みについて書きました。今回は、実際に企業がGDPRに遵守するにあたって、課題となることや必要な対応策について書いていきたいと思います。

企業が優先すべき課題

GDPRが施行され大きな影響を受けるのは、EU内の企業だけではないことは前回説明しました。このように、EUの領域外にまで範囲が及ぶという意味で、「域外適用」という用語が使われます。「域外適用」として想定される企業活動には、次のようなものがあります。

・ オンラインショッピングで海外からの注文を受けている
・ 個人向けクラウドサービスを海外に向け展開している
・ EUにある子会社が保有する個人情報DBを日本でも共有している
・ EU居住者の個人情報が記載された電子メールを日本に送っている

参考資料: GDPR施行は、日本のITエキスパートにとってよそごとなのか?

20180315-1

こうした組織は、GDPRを遵守するにあたり、多くの課題に取り組まなければなりません。まず必要になるのが、自社の役割の認識です。前回も説明したように、こうした組織は基本的に「データ管理者」としての役割を担います。「データ管理者」は、データ保護当局(DPA)やデータ主体との連絡窓口となる代理人を任命する必要があります。また、多くの組織では、データ保護責任者(DPO)を置く必要があります。DPOというのは、GDPRを遵守できているか監視したり、データ保護インパクトアセスメント(DPIA)への助言と履行を監視することなどが、主な任務として規定されています。GDPRの初期草案では「任意の12ヶ月に5000以上のデータ主体のデータ処理を行うこと」を「大規模な」処理としており、これに該当する組織や公的な組織においては、DPOを置くことがより重要になってきます。さらに今後、ますます組織は説明責任と透明性を実証しなければならなくなります。その点について、ウィレムセン氏はこのように述べています。

「GDPRの下で説明責任を果たすには、データ主体からの同意を適切に取得し登録しなければならない。『あらかじめチェックされたチェックボックスを提示し、チェックが解除されなければ同意を得たと見なす』というやり方はもう通用しない。組織は、同意と同意の撤回を取得し、文書化する合理的な技術を実装する必要がある」

参考資料: EUの「GDPR」は日本企業にも影響、対応すべき5つの優先課題

GDPRの遵守にあたって

組織はまず、「個人情報の暗号化」から着手すると良いかもしれません。GDPRでは、暗号化による本人への通知の例外規定が定められています。つまり、個人情報を暗号化して業務を運用していれば、情報漏洩が発生したとしても本人への通知義務が免除されるというのです。暗号化さえしていれば、情報の悪用を回避できます。

ではどのように暗号化を進めれば良いのでしょうか。そのステップとして、「守るべきデータの棚卸し」「鍵管理」「アクセス管理」が挙げられています。

参考資料: GDPR対策は個人情報の暗号化から

「データの棚卸し」というのは、管理する個人情報がどこにどのように保存されているのかを把握することです。また、どこにデータがあるのかがわかれば、誰がアクセスでき、誰と共有し、どのアプリケーションがそのデータを処理するのかを調査しなければなりません。「鍵管理」というのは、暗号鍵の管理のことです。データを暗号化しても、その暗号を解く鍵を忘れてしまっては意味がありませんよね。こういう悩みを持った方は「ハードウェアセキュリティモジュール(HSM)」という暗号鍵管理専用ハードウェアを用いてみると良いかもしれません。鍵が流出する可能性が低く、「無くさない」という点で優れています。最後に、「アクセス管理」です。どんなに鍵を強固にしても、誰かが権限を持ったユーザーになりすましていた場合は防ぎようがありません。そこで、データやシステムにアクセスする際にはアクセス認証が、権限に応じてアクセスを許可するアクセス管理が、誰がいつアクセスしたかをみる履歴管理が必要になるのです。具体的な手段としては、2段階認証やワンタイムパスワードなどが挙げられます。

また、業務を行う上でメールのやり取りは欠かせませんが、ここにも個人情報保護違反をしてしまう可能性が潜んでいます。添付ファイルの暗号化を忘れる、宛先を誤る、個人データが漏洩した場合に影響を受けたデータ主体が特定できない、などが主なリスクとして挙げられます。送受信メールセキュリテイ機能を備えたクラウド型サービスを利用するなどして、出来る限りのリスクヘッジをする必要があります。

英国情報委員会事務局(Information Commissioner’s Office、ICO)によって、企業のGDPR対策に向けたガイドラインが公表されています。プライバシー条項の見直しやGDPRへの適合など、プランをしっかりと立てることが必要だとしていますが、ICOはまた、GDPRは現行のデータ保護法と全く同じ原則と概念を多く残しているとも強調しています。つまり、これまで十分対策をし、1995年法を守ってきた企業はそれほど心配することはないと言えるでしょう。もっとも、一度でも過ちを犯せば倒産に繋がりかねませんから、組織を管理する立場にいる方はもう一度自社の体制を見直した方が良いのかもしれません。