経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

施行まで1年を切った「EU一般データ保護規則」日本企業への影響と取るべき対策を探る

個人データ保護に関する法制度の強化が世界的に進んでいる。中でも注目は欧州連合(EU)が2016年4月に制定した「一般データ保護規則(GDPR :General Data Protection Regulation)」。2018年5月25日に施行される予定の同規則では、EUに居住する個人のデータを有する組織に、データ保護を強化することを求めている。注意したいのは、EUに拠点を持っていなくても、域内で何らかのビジネスを展開している日本企業のほとんどが適用対象に含まれることだ。マイクロソフトの担当者の話を基に、2回にわたってGDPRが日本企業に与える影響と取るべき対策を解説していく。

GDPRは、EUにおける新しい個人情報保護の枠組みで、個人データの取り扱いに関するルールを定めた規則だ。情報保護の対象となる個人は、EUの居住者である。国籍は問わない。こうした人の情報を保有する組織が適用対象となる。

「個人データというと、名前やメールアドレス、クレジットカード番号などを思い浮かべる方が多いかもしれません。しかし、GDPRにおける個人データの定義は幅広いので、注意が必要です」

このように指摘するのは、日本マイクロソフトの政策渉外・法務本部に在籍する弁護士の中島麻里氏だ。

IPアドレスや企業独自の顧客IDも保護対象に

GDPRでは、個人データを「識別された、または識別され得る自然人(データ主体)に関するあらゆる情報を意味する」と定義している。特定の個人を識別できる番号や符号は全て、個人データということになる。IPアドレスや企業が独自に管理している顧客IDなども、個人データに含まれる。ウェブサイトで画面の遷移などを管理するために発行しているクッキー識別子も個人データに該当する。

EUでは、個人情報保護の枠組みとして1995年に制定された「データ保護指令」がある。GDPRは、これを代替するものだ。新たな枠組みが必要になった理由を、マイクロソフト コーポレーションのエンタープライズサイバーセキュリティ グループに所属する山本明広氏は次のように解説する。

「インターネットの普及をはじめとして約20年の間にテクノロジーが進歩して、個人を識別できる情報が急増しました。こうした状況の中で、個人のプライバシーを保護するためには新しい枠組みが必要だと判断されたのです」

GDPRでは、EUに子会社や営業所、工場などの拠点を持っていなくても、域内で何らかのビジネスを展開していれば適用対象に含まれる可能性が高い。域内に顧客や取引先があれば、担当者の名前やメールアドレスなどを保有しているからだ。

インターネット上で不特定多数を対象としたサービスを提供している企業も、適用対象に含まれる可能性がある。顧客や会員の中にEUの居住者がいるかもしれないためである。このほか、データセンター事業者のように、EUの顧客から依頼を受けて個人データの処理を行っている企業も適用対象となりうる。

このようにGDPRにおける個人データの対象は幅広いが、プライバシー保護の強化はEUに限らず、世界的な流れ。インターネットを使ってビジネスをする以上、対応は避けられない。

個人データの取り扱いを細かく規定

GDPRが規定する法的要件は大きく2つある。個人データの「処理」とEU域外への「移転」の2つだ。

処理とは、個人データの取得・保管・使用・廃棄というライフサイクル全体における要件のこと。これにはシステム内の個人データをどのように特定して保護するかだけでなく、透明性に関する新しい要件にどのように対応するか、個人データ侵害をどのように検出して報告するか、個人データ処理担当者と従業員をどのようにトレーニングするかといった要件も含まれている。GDPR全体で99条もの要件があるので詳細は専門書や専門家の意見などを参考にしていただきたい。

例えば、データの取得では、データ取得元の身元や連絡先、処理の目的、第三者への提供の有無、保管期間などを分かりやすく通知した上で、データ主体(個人データの提供者)から同意を得ることなどが求められる。データ主体が後に同意を撤回する仕組みを設けるという要件も規定されている。

データの保管では、適切な安全管理措置を講じるとともに、目的の達成に必要な期間を超えて保持し続けることを禁ずる要件もある。データ主体から同意を取得した際に掲げた目的が達成された場合や、データ主体から同意が撤回された場合は、個人データを消去することも義務づけられている。

安全管理措置を規定した第32条第1項には次のような記述がある(出所:日本情報経済社会推進協会によるGDPRの仮日本語訳)。

到達水準、実施の管理費用、取扱いの性質、範囲、文脈及び目的、並びに引き起こされる自然人の権利及び自由に関する様々な可能性及び重大性のリスクを考慮し、管理者及び取扱者は、保護レベルをリスクに見合ったものにするため、適切な技術的及び組織的対策を実施しなければならない。必要に応じて特に次に掲げる事項を含むものとする。

(a)個人データの仮名化及び暗号化

(b)現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする能力

(c)物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力

(d)取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス

業務系システムで管理している顧客情報などであれば、このような要件を満たしているかもしれない。しかし、現場の担当者がExcelで取引先や顧客の情報を管理している場合は、これらを満たすことは困難だろう。中島氏も「多くの企業で既存の体制の見直しが必要となるかもしれません」と指摘する。

社員数が250人以上の企業に対しては、個人データの処理に関する記録を書面で残すことが求められている。一連の処理の責任を担う「データ保護オフィサー(Data Protection Officer)」を選任することも求められる。

情報の流出など個人データに対するインシデントが発生した場合には、72時間以内に監督機関に通知しなければならないという要件もある。これを実現するには、常日頃から個人データに対する処理の履歴を管理しておく必要があるだろう。

一方の「移転」とは、個人データをEU域外へ移動させる際の要件だ。GDPRでは原則、EU域外へ個人データを移転することを禁じており、欧州委員会によって「適切な個人情報保護制度を有している」と認められていない国・地域への移転では一定の条件を満たす必要がある。残念ながら、日本は適切な個人情報保護制度を有しているとは現時点では認められていない。EUの拠点で取得した個人データを、電子メールで日本の本社へ送信するような行為は違反となる可能性がある。

GDPRの適用対象かどうかを早急に確認

GDPRには、違反した場合の罰則も規定されている。違反の重要性によって、次の2段階の制裁金が課せられる。

・1000万ユーロ(1ユーロは約124円)または企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
・2000万ユーロまたは企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方

実に20億円超の制裁金が課せられる可能性があるのだ。巨額の制裁金に関しては、「過度の政府の介入につながる」「中堅中小企業やベンチャー企業のビジネス発展を阻害する」などの反対意見も多いが、EUでビジネスをする以上、現実問題としてGDPRへの対応は避けては通れない。

ところが実際にはGDPRの適用対象であるのにかかわらず、まったく手を動かしていないという日本企業も少なくない。日本企業は少なくとも自社がGDPRの適用対象であるのか否かを早急に確認すべきだろう。適用対象であるなら、施行まで1年を切っているので、急いで対応を進めるべきだ。

中島氏は、GDPRへの対応を進める際に、留意すべきこととして、次のように指摘する。

「お客様をはじめとして個人のプライバシーを保護することは、現代の企業にとって重要な使命です。法対応だからという消極的な姿勢ではなく、企業としての信頼性を高めるための取り組みだと位置づけることが重要です」

次回は、GDPRへの対応に向けて、どのような取り組みが必要になるのかを解説する。

GDPRの実施細則などは、2018年5月の施行開始までに更新される可能性があります。このため本稿は2017年6月時点の情報を基にしています。また、本稿は一般的な情報を提供するものであり、法的助言の提供を目的とするものではありません。

後編はこちらから