Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【コラム】ここから始めるGDPR対策の実装

2017/06/09

EUの一般データ保護規則(以下「GDPR」)とその企業に対するインパクトについては、すでに多くの解説があります。なんらかのEU個人データを扱う企業では法務的な対策とともにITの力を借りた対策が必要であることを、担当者の皆様はよく理解されていると思います。
しかし、いざ具体的な「対策」を講じようとしたとき、何から手をつけるべきか、どこからスタートすればよいのかわからず、大きな不安に苛まれるのではないでしょうか。
本コラムでは、ITを活用したGDPR対策の実装策をいくつか取り上げて解説します。

個人データの仮名化・暗号化による保護(第32条)

個人データは仮名化もしくは暗号化による保護が求められています。一般的に、ITシステムのデータの暗号化は対策済みである傾向にありますが、バックアップデータに対する暗号化は対応されていないことが多いようです。IIJはEU域内の2ヶ所のデータセンターに暗号化バックアップを取得するバックアップサービスを提供します。サーバー、PC、スマートフォンといった幅広いデバイスのデータのバックアップ/リストアが可能です。

72時間以内の通知義務(第33-34条)

個人データの侵害が発生した場合、検知後72時間以内に監督機関及びデータ主体に通知する義務があります。しかしセキュリティ対策を万全に整え、各拠点にセキュリティ機器を導入していても、それらの機器を統一して監視し、個人データの侵害が疑われる場合には迅速に検知/連絡する体制を構築しなければ、72時間以内の通知を実現することは難しいと言えます。IIJはセキュリティオペレーションセンター(SOC)を刷新。長年かけて培ってきたセキュリティ事業のノウハウを結集させ、膨大な情報から“迅速・正確に”リスクを検知・防御し、さらに対処までを24時間365日で行うサービスを提供します。

データ保護責任者(DPO)設置義務(37-39条)

データ保護責任者(DPO:Data Protection Officer)の役割は多岐にわたり、その任務は以下の5つに規定されています。

  • GDPR遵守の監視
  • データ保護インパクトアセスメント(DPIA)への助言と履行の監視
  • 処理の性質、範囲、背景と目的に対するリスクの考慮
  • 記録保持に関する役割
  • 監督機関との連絡

IIJはお客様からの委託を受けて、お客様のDPOを支えるメンバーとしてアドバイス並びに実務の一部を代行します。また、DPOもしくはお客様の個人データ保護チームがその役割を遂行する際に、対応に苦慮される点をGDPRアドバイザリーサービスとして支援します。

メールによる個人情報保護違反対策

業務を行う上で欠かせないツールであるメールですが、社員がメールを送る際にうっかり個人情報保護違反をしている可能性があります。想定されるリスクを以下に5つ挙げます。

  • 添付ファイルの暗号化を忘れる
  • メール送信後に宛先の誤りに気づく
  • 個人データ取り扱いの認識ができない
  • 個人データが漏洩した場合に、影響を受けたデータ主体が特定できない
  • メールへのファイル添付

社員ひとりひとりの心がけや注意喚起だけでは十分な対策とはなりません。仕組みとしてリスクを軽減する措置が必要となります。IIJが提供するIIJセキュアMXサービスは、送受信メールセキュリティ機能を網羅したクラウド型サービスです。個人情報保護違反のリスクを回避する機能を兼ね備えています。

 1.添付ファイルの自動暗号化
 2.メール取り消し機能で万が一の誤送信を防止
 3.送信メールのコンテンツを検査し、配送制御
 4.メールの長期全文保存
 5.自動で添付ファイルをオンラインストレージへアップロード

EEA域外への個人データ移転の禁止

GDPRは、EUを含む欧州経済領域(EEA)域内で取得した個人データをEEA域外へ移転することを原則禁止しています。データの保存先として自社のオンプレミスシステムを利用していても、ベンダーの提供するクラウドサービスを利用してもかかる規制は同一です。ここではクラウドサービスを利用する場合について記載します。クラウドサービスを利用してデータの移転を可能にする方法はありますが、その手続きには途方もない手間がかかると想定されます。そこでIIJグループはグローバルにクラウドサービス(IaaS)を展開するベンダーとして世界で初めてBCRの申請を行いました。IIJグループがBCRの承認を得ると、BCRの承認取得をしていないベンダーのクラウドサービスを利用するよりもはるかに少ない手間でEEA域外へのデータ移転を適法化することができます。このGDPR Readyクラウド「IIJ GIO」は日本、欧州、アメリカ、中国、シンガポールで提供しています。

GDPR施行にあたり、戦々恐々とされる違反時の制裁金額は、事前の対応がなされていればなされているほど、減額が考慮されます。IIJは現状把握から個人データの収集、処理、そして運用まで各フェーズにおけるGDPR対策のソリューションを提供しています。最新のGDPR関連情報を日本語で提供するなど、GDPRを熟知したITソリューションベンダーです。コンサルティングからIT実装まで、お気軽にご相談ください。

IIJではGDPRに対応するためのITソリューション、GDPRへの対応状況を見える化できるWebプラットフォームなど、幅広いソリューションをご提供しています。
IIJ GDPR対策ソリューション
IIJ DPOアウトソーシングサービス
IIJコンプライアンスプラットフォーム for GDPR

株式会社インターネットイニシアティブ
グローバル事業本部 冨田 輪香子