改正個人情報保護法や割賦販売法改正など、個人情報の取り扱いに関連した法制度整備の動きが国内で進む中で、ヨーロッパ連合(EU)が制定した一般データ保護規則(General Data Protection Regulation、GDPR)が 2018年5月25日から施行されます。国内の企業にも影響があるこの制度は、本格的な施行まで残すところあと 6カ月になりましたが、果たしてどれだけの法人組織で理解と対応が進んでいるのでしょうか?
GDPRとは?
GDPR は 2016年4月に EU議会で承認、採択された規則で、欧州経済地域(EEA)内のすべての市民に関連する個人情報を保護することを義務付けている制度です。これまでヨーロッパでは、EU の前身である欧州共同体(EC)が貿易障壁撤廃を目的に制定した EUデータ保護指令が存在していました。しかし、加盟国の法制度の違いから不整合が発生するという課題を受けて、ヨーロッパ全域で調和のとれた個人情報保護に関する法制度の整備、EU圏内の個人に関する情報の保護と権利確保、組織による個人情報保護の取り扱いを整備する目的で制定されたものです。
■国内企業も適用対象に
EU が定めた制度ということで「我々には関係ない」とお考えになる方がいるかもしれませんが、実は国内企業にとっても大いに関係がある規則です。GDPR の制度適用対象のポイントは、「EU圏内の市民の個人情報を取り扱うすべての組織に適用される」ということです。EU圏内に拠点を持つ組織だけでなく、EU圏内の個人に対して製品、サービスを提供する、あるいは個人の活動をモニタリングする組織であればEU圏外に拠点を持っている組織にも適用されるというものです。つまり、拠点がどこにあるかに関係なく、EU圏内の個人情報を取り扱うすべての企業が対象になるということがポイントです。また企業の従業員規模などの下限もなく、大企業のみならず中堅、中小企業含めあらゆる企業が対象になります。
■違反時には事業を脅かす厳しい罰則
GDPR の大きな特徴であり数多くの企業に影響を及ぼす恐れがあるものが、違反時に科せられる制裁金です。違反があった場合には、最大で対象組織の全世界での売上高の 4%あるいは 2,000万ユーロ(26億3,591万円。2017年10月31日時点)のいずれか大きい方が制裁金として科せられることになります。違反の内容や程度によって深刻度が評価され制裁金額が決まるというものですが、たった一回の違反で企業が倒産に追い込まれるリスクも可能性としてはらんでいる罰則規定になっています。トレンドマイクロが今年実施した調査では、深刻なセキュリティインシデントによる年間被害額は平均 2億2,177万円となっています。この被害額には事故発生時の調査費用や顧客対応にかかるコストなどさまざまなものが含まれていますが、制裁金単体でこの平均被害額の 10倍以上が最大で科せられることになり、EU圏内の個人に関する情報の取扱いに当たって違反や不備があった際の影響は極めて大きいといえます。
■法律専門用語だらけの約款はNG
GDPR への対応にあたっては、この他にも、法律専門用語だらけの約款を使って個人情報利用に関する承諾を主体から得ることを禁止している点を含め、以下のような要件が定められています。
- 個人情報の利用にあたって提示する約款は誰もが理解できる言語で記載されかつ容易にアクセスできるようにしなければならない。
- 個人の権利と自由が侵害されるリスクのある情報漏えい事故の際には発覚後 72時間以内に通知が必要。
- 個人情報の主体は、自らの個人情報が処理されているのか否か、何の目的で、どこで利用されているのかを確認できる権利を有する。
- 当初の利用目的に対して個人情報が無効になった、あるいは主体が同意を取り下げた場合には、個人情報の削除、さらなる流通の中止、第三者による個人情報処理の停止を求めることができる。
- 個人情報の主体に関する定期的かつシステマチックなモニタリングを必要とする処理業務が主な活動に含まれる場合などには、個人情報に関する法律と対策を理解した情報保護責任者(Data Protection Officer、DPO)の設置が義務。
- 個人情報の主体の権利ならびにこの規則の要件を満たすために、技術的対策並びに組織的対策を効果的な形でシステム設計段階から組み込まなければならない。
- 個人情報の主体は、以前提供した自分自身の自分自身のデータを一般的で機械可読な形で入手し、別の場所に移動することができる。
■GDPR への理解、対応は間に合うのか?
トレンドマイクロが 2017年6月に実施した調査では、国内の法人組織における GDPR への理解と対応が十分進んでいない実態が浮き彫りになりました。全体の 68%が GDPR の存在を把握しているとはいえ、GDPR の内容を十分理解したうえで自組織のセキュリティ対策にも十分反映させていると回答しているのは全体のわずか 15.0%にとどまっています。業種別、規模別で評価した際には、その差が特に顕著に表れています。
図1:GDPR理解度ならびに対応状況(業種別、n=1,361)
図2:GDPR理解度ならびに対応状況(従業員規模別、n=1,361)
■GDPR対応を加速するためには
著者がさまざまなイベントで行う講演活動においては、GDPR の存在自体を把握できている情報セキュリティ対策関与者が圧倒的に少ない印象を持っています。GDPR では、「データの主体を直接的あるいは間接的に特定することのできるいかなる情報」を個人情報と定義しており、その中には例えば氏名、写真、メールアドレス、銀行口座情報、ソーシャルネットワークサービスにおける投稿、診療記録、IPアドレスなど多岐にわたる情報が含まれるとしています。拠点を EU圏内に有するかインターネット上でビジネスを行うかに関係なく、国内の多くの法人組織が EU圏内の市民の個人情報を取り扱っているものと考えられます。加えて、今後は複数の国際的なスポーツイベントをはじめ、EU圏内の市民に関する個人情報を取り扱う国内企業が増えていくものと想定されます。データ処理行為の記録義務に関しては、従業員規模 250人未満の組織は免除対象となるものの、それ以外は企業規模問わず適用対象となるのが GDPR です。GDPR とは何なのか、GDPR対応とは何を意味しているのか、自組織に不足しているものは何なのかを理解し、対応を進めていくことが急務となっています。法人組織においては、情報セキュリティ担当部署、事業部門、法務部門、そして何より経営層・上層部が連携して GDPR対応を進めていくことを推奨します。
トレンドマイクロでは、GDPR の概要と対策、トレンドマイクロが支援できる領域を解説したホワイトペーパー「GDPR のパズルを解く-最先端のサイバーセキュリティによるデータ保護」を公開しました。自組織における GDPR対応を進めるにあたっての参考資料としてご活用ください。
- 「GDPR のパズルを解く-最先端のサイバーセキュリティによるデータ保護」
https://resources.trendmicro.com/jp-docdownload-form-m034-web-gdpr.html