GDPR対策について | 飛天ジャパン

GDPRとは

欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組みで、「EU一般データ保護規則（GDPR：General Data Protection Regulation）」が正式名称です。

1995年にEUデータ保護指令が策定されていましたが、グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まり、同時にサイバー攻撃や内部不正などによる個人情報漏えいのリスクも急速に高まっている現状も踏まえ、EUデータ保護指令に代わる、より厳格なものとしてGDPRは2018年5月25日に施行されました。EU（欧州連合）内のすべての個人（市民と居住者）のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。

また、EUデータ保護指令は各国での法規定は加盟国ごとにバラバラで良い「指令」でしたが、GDPRは「規則」ですので、全てのEU加盟国に共通の法規則として適用される点が大きな違いです。

高額な制裁金（前年度の全世界売上高の4%もしくは2000万ユーロのどちらか高い方が制裁金として課される）と日本企業でも関係する場合があること（EU域内住民のデータを取り扱う企業であれば世界中の企業が対象）で注目され、当社のお客様からもお問い合わせいただくことが増えてきました。

GDPR対策「まず何をやるべき？」

～3つの優先事項～

1.現状把握
まず企業組織が取り組むべき優先事項としては、自社内における個人データの現状把握が挙げられます。どんな個人データがどこにあり（データの保存場所等）、どのような流通経路でやりとり（国外とやり取りしている、誰がどのような方法でやり取りしているか等）をされているのか調査、把握する必要があります（＝データマッピング）。
また、いつ、誰が、どのファイルにアクセスしたかアクセス権限に基づく履歴管理が適切に行われていたかどうかの調査も必要になります。

1-1 対象となる個人データ
GDPR施行に伴って対象データに関する解釈や情報が様々出ていますが、GDPRの対象となる個人データは以下のように「個人を識別できる情報及び複数の情報を組み合わせることで個人の識別ができる情報」が対象となります。
＜個人データの例＞
・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子（IPアドレス、クッキー等）
・クレジットカード情報
・パスポート情報
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

1-2 データ所在地
上記の対象となる個人データがある場合、まず、自社で保有する個人データの保存場所を特定し、その際には自社内のみならず委託会社や海外の拠点があればこれらも含めて確認することが重要となります。

1-3 データのフロー
次に、個人データが自社内組織で、どのように流通しているか可視化します。例えばマーケティング部門で潜在顧客のメールアドレスがどのように収集され、どこに保管され、どのように活用、移転、変更、削除されているかフローでとらえることが重要となります。

1-4 アクセス権限
さらに、自社内で設定したポリシー、権限に基づき個人データへのアクセスが行われているか、また、閲覧履歴は適切に残されているか等の確認が必要となります。

2.対応策の計画
対応策の計画段階では、企業組織におけるGDPRの責任者や対応組織、社内への教育、法令順守等に向けた推進体制の整備やプライバシーポリシーや個人データの取扱い手順等を定めるデータ保護方針の策定等を行います。また、現状把握で行ったデータマッピングに基づき、適切な個人データ取扱いのプロセス策定を行い、個人データ漏洩時に、社内でのエスカレーションフローや関係当局へ速やかに通知するインシデント対応へのプロセス整備が必要となります。
併せてこうした現状把握、計画策定を通じて把握できた要件に基づきシステム対応の計画を実施することが重要となります。

2-1 推進体制
GDPR対応を進める上で、社内の各部門、必要に応じて海外拠点も交えたプロジェクト体制を整備しましょう。具体的には個人データの管理を担当する部署、個人データを取り扱う部門、個人情報保護に関する法規定をアドバイスする部門等からなる組織横断的なプロジェクトとして、プロジェクトをまとめる事務局、プロジェクトの責任者の選任等が必要です。

2-2 データ保護方針策定
従来の個人データの定義と異なる点に留意し、GDPR対応のプライバシーポリシーの策定を行い、社内への展開と外部向けに自社のホームページで公開する準備を行います。
また、併せて個人データの取り扱い手順等を定めるデータ保護方針の策定が必要です。
GDPR施行のタイミングでプライバシーポリシーを改訂し、ユーザーに告知をしている企業も増えていますが、以下のような項目は明確化する必要があります。
・データ処理の適法性に関する根拠
・いつ、どのように、何を、何のために情報を収集するのか
・データの保存場所、保存期間
・データ削除の対応（削除の基準や削除方法）に関すること
・どのようなサードパーティサービスを使っているのか

※プライバシーポリシーなどにより事業者がユーザー側に明示すべき項目は、GDPR 第13条（データ主体から個人データを取得する場合）、GDPR 第14条（データ主体以外から個人データを取得する場合）に列挙されています。

2-3 インシデント対応
GDPRは情報漏えい発生時、72時間以内への関係当局への報告義務があり、違反した場合多額な制裁金の可能性があります。そうした状況に対応するために、インシデント発生時の社内エスカレーションフローの整備や対応体制の整備が必要となります。

2-4 システム対応
現状把握のリスク分析を行い、その結果に基づき社内システムの強化、改修に向けた計画を策定します。

3.セキュリティ対策
GDPRの対応を行う場合、社外告知や社内の実態把握、法務視点やリスクマネジメント視点の対応など多岐に渡りますが、ここではデータ保護を強化する視点からセキュリティ対策のソリューション例をご紹介します。

3-1 インシデント発生時に迅速に検知・情報の共有・連絡が必要
有効な対策→SIEM（Security Information Event Management）

3-2 データの把握、保護、制御
クラウド環境における有効なセキュリティ対策→CASB（Cloud Access Security Brokers）

3-3 データ流出防止
有効な対策→マルウェア対策製品/DLP・暗号化ソフト