【コラム】ここから始めるGDPR対策の実装
2017/06/09
EUの一般データ保護規則(以下「GDPR」)とその企業に対するインパクトについては、すでに多くの解説があります。EU域内でビジネスを行い、EU圏内に居住している人の個人データを持つ企業では法務的な対策とともにITの力を借りた対策が必要であることを、担当者の皆様はよく理解されていることと思います。
しかし、いざ具体的な「対策」を講じようとしたとき、何から手をつけるべきか、どこからスタートすればよいのかわからず、大きな不安に苛まれるのではないでしょうか。
本コラムでは、ITを活用したGDPR対策の実装策をいくつか取り上げて解説します。
個人データの仮名化・暗号化による保護(第32条)
個人データは仮名化もしくは暗号化による保護が求められています。一般的に、ITシステムのデータの暗号化は対策済みである傾向にありますが、バックアップデータに対する暗号化は対応されていないことが多いようです。
IIJはEU域内の2ヶ所のデータセンターに暗号化バックアップを取得するバックアップサービスを提供しています。これにより、サーバー、PC、スマートフォンといった幅広いデバイスのデータのバックアップ/リストアが可能です。
72時間以内の通知義務(第33-34条)
個人データの侵害が発生した場合、検知後72時間以内に監督機関及びデータ主体に通知する義務があります。しかしセキュリティ対策を万全に整え、各拠点にセキュリティ機器を導入していても、それらの機器を統一して監視し、個人データの侵害が疑われる場合に迅速に検知/連絡する体制を構築していなければ、72時間以内の通知を実現することは難しいと言えます。
IIJはセキュリティオペレーションセンター(SOC)を刷新。長年かけて培ってきたセキュリティ事業のノウハウを結集させ、膨大な情報から“迅速・正確に”リスクを検知・防御し、さらに対処までを24時間365日で行うサービスを提供しています。
データ保護責任者(DPO)設置義務(37-39条)
GDPR上では、企業が一定の要件を満たす場合、データ保護オフィサー(DPO)を選任する義務があると定められています。GDPRにおけるデータ保護責任者(DPO:Data Protection Officer)の役割は多岐にわたり、GDPR遵守とITセキュリティ対応という法務・IT両面の対応と、広範な分野の専門知識も必要になります。その任務は以下の5つに規定されています。
- GDPR遵守の監視
- データ保護インパクトアセスメント(DPIA)への助言と履行の監視
- 処理の性質、範囲、背景と目的に対するリスクの考慮
- 記録保持に関する役割
- 監督機関との連絡
IIJはお客様からの委託を受けて、お客様のDPOを支えるメンバーとしてアドバイス並びに実務の一部を代行します。また、DPOもしくはお客様の個人データ保護チームがその役割を遂行する際に、対応に苦慮される点をプライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームがご支援します。
メールによる個人情報保護違反対策
業務を行う上で欠かせないツールであるメールですが、社員がメールを送る際にうっかり個人情報保護違反をしている可能性があります。想定されるリスクはこちらです。
- 添付ファイルの暗号化を忘れる
- メール送信後に宛先の誤りに気づく
- 個人データ取り扱いの基本ルールの認識ができない
- 万が一個人データが漏洩した場合に、影響を受けたデータ主体の特定ができない
- メールへのファイル添付
社員ひとりひとりの心がけや注意喚起だけでは十分な対策とはなりません。業務でメールを利用する場合は、仕組みとしてリスクを軽減する対策が必要となります。IIJが提供するIIJセキュアMXサービスは、送受信メールセキュリティ機能を網羅したクラウド型サービスです。個人情報保護違反のリスクを回避する機能を兼ね備えているだけでなく、メールを介したあらゆるリスクをワンストップで解決する統合メールセキュリティサービスです。
- 添付ファイルのURL化
- メール取り消し機能で万が一の誤送信を防止
- 送信メールのコンテンツを検査し、配送制御
- 証跡保管
- 添付ファイルをオンラインストレージへ自動アップロード
EEA域外への個人データ移転の禁止
GDPRは、EUを含む欧州経済領域(EEA)域内で取得した個人データをEEA域外へ移転することを原則禁止しています。データの保存先として自社のオンプレミスシステムを利用していても、ベンダーが提供するクラウドサービスを利用してもかかる規制は同一です。
IIJグループは2021年にクラウド事業者として世界初のBCRの承認を取得しました。これによりIIJグループが世界中で提供する全サービスは欧州と同等のプライバシー保護レベルにあると見なされ、IIJグループ内でEUの個人データを国境をまたいで、適法に流通させることが可能となりました。これにより欧州で事業を行うお客様は、BCRを取得したIIJグループを外注先事業者(処理者)として、そのクラウドサービスやメールサービスなどを利用することで、EEA域外への個人データの移転やさらに第三国への再移転についてGDPR抵触を案ずることなく、適法に行うことが可能になります。
尚、IIJグループはAPECのプライバシー保護基準であるAPEC CBPRの認証も取得しており、BCRとCBPRの双方で安全なプライバシー保護の証明を受けた世界で唯一のクラウド事業者(IaaS)です。
GDPR施行により戦々恐々とされる違反時の制裁金額は、事前の対応がなされていればなされているほど減額が考慮されます。IIJは現状把握から個人データの収集、処理、そして運用まで各フェーズにおけるGDPR対策のソリューションを提供するほか、GDPRをはじめとした世界のプライバシー保護規制に関する最新の情報を日本語で提供するなど、世界のプライバシー保護規制を熟知したITソリューションベンダーです。コンサルティングからシステムやセキュリティの実装まで、お気軽にご相談ください。
GDPR特集・コンテンツ一覧
・IIJプライバシー保護規制対応ソリューション
・IIJ DPOアウトソーシングサービス
