前回の記事では、韓国の個人情報保護法についてご紹介しました。 特徴としては、「暗号化」に代表される個人情報の技術的保護措置が明記されており、法律で強制化されている点が挙げられます。それでは、韓国以外の国の法律はどのようになっているのでしょうか?世界で最も厳しい個人情報保護法と呼ばれているEUのGDPR(EU一般データ保護規則)について説明するとともに、企業の立場でGDPRに対応するためには何を重視すべきかを見てみましょう。
GDPRとは?
GDPRはGeneral Data Protection Regulationの略で、2018年5月25日にEUで施行された一般データ保護規則です。日本や韓国の個人情報保護法にあたります。
この法令は、世界で最も厳しい個人情報保護法と言われており、規制の内容が厳格なうえ、GDPRに違反した場合、2,000万ユーロ(約30億円)もの制裁金が課されるのがその理由のひとつです。
GDPRで定義される個人情報とその範囲
GDPRの個人情報
GDPRで定める個人情報とは、「識別された自然人、または識別可能な自然人(データ主体)に関するすべての情報」を意味し、氏名などの一般的な個人情報のほか、生体情報、位置情報、オンライン識別子(IPアドレスやcookieなど)*も含まれます。
*IPアドレス、MAC Address、cookieを通じて個人識別が可能な場合は個人情報である
位置情報も個人情報に該当するとなると、交通機関がGPSを通じて収集する情報も個人情報なのかが気になるところですが、 その移動手段を利用している人が特定できれば、機械が収集する地理的情報もその人の身元を把握できる個人情報と見なされ、GDPRの適用対象になります。
GDPRの適用範囲
GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となります。EU域内に拠点がない場合でも、在EUの個人情報を取り扱う場合は、適用を受ける可能性があるので注意が必要です(域外適用)。また、管理者(個人データの取り扱いの目的および方法を決定する人・法人など)だけでなく、処理者(管理者の代わりに個人データを取り扱う人・法人など)にも適用されます。
個人データ処理に関する7つの基本原則
個人データを取り扱う場合、7つの保護と責任の原則に従って処理する必要があります。
- 合法性、公正性、透明性:データ処理は、データ主体にとって合法的、公正、透明でなければなりません。
- 目的の制限 : データを収集する際、データ主体に明示的に指定された正当な目的のためにデータを処理しなければなりません。
- データの最小化 : 指定された目的に必ず必要なデータのみを収集し、処理しなければなりません。
- 正確性 : 個人データを正確かつ最新の状態に保つ必要があります。
- 記録保存の制限:指定された目的に必要な期間だけ個人データを保存することができます。
- 完全性と機密性:データ処理は、適切なセキュリティ、整合性、および機密性を確保する方法で処理する必要があります。( 例:暗号化の使用)
- 責任: データ管理者は、これらすべての原則についてGDPRに準拠していることを証明する責任があります。
GDPRに対応したデータ保護施策
GDPRは、データ管理者がGDPRに準拠していることを証明しなければならないとされています。 したがって、実際にGDPRに準拠していても、これを証明できなければGDPRに準拠していないのと同じなのです。 そのため、次のようなことを行う必要があります。
- データ保護担当者を指定しなければなりません。
- 収集するデータ、使用方法、保存場所、担当者などに関する詳細な文書を準備しておく必要があります。
- 関連スタッフを教育し、技術的および組織的なセキュリティ対策(暗号化の使用)を講じる必要があります。
- 代わりにデータを処理する場合は、第三者とのデータ処理契約を締結する必要があります。
- データ保護責任者を任命する必要があります。
また、GDPRに対応する企業の立場から見ると、技術的・管理的保護措置を忠実に履行することが最も重要な対応となります。実際にGDPR第83条の制裁金を科すための一般要件を見ても、技術的・管理的措置の施行有無、適正な時期の技術的更新の有無、個人情報へのアクセス制御のための技術的保護措置の適用有無などが重要な判断基準に含まれています。第32条の取り扱いの安全性には、企業が実施すべき措置が具体的に記載されています。
- 個人情報の仮名化と暗号化
- 取り扱いシステムおよびサービスの継続的な機密性と整合性、可用性、回復力を確保する能力
- 物理的または技術的なインシデントが発生した場合、個人データの可用性とアクセスを復旧する能力
- 取り扱いの安全性を確保する技術上および組織上の措置の有効性の定期的なテスト、評価、評定のための手順
このように、GDPR 32条では、すべての企業がデータ脅威に対応できるよう、個人情報の仮名化と暗号化を必ず適用することを要求しています。暗号化のメリットは、データが流出してしまっても流出したデータの解読が不可能であるため、悪用される可能性が低く、さらなる被害を防ぐことができる点です。 企業内で個人情報の暗号化が導入されれば、万が一データ流出が発生しても、流出データを無効化することができ、ステークホルダーに対する情報開示やそれにかかる莫大な費用を抑えることができます。
暗号化は単なる個人情報保護に対する事後対応策ではなく、データ自体を保護する根本的な解決策と言えます。EU域内で企業活動を行う際は、GDPRに準拠して個人情報の保護に配慮することで企業のリスクを最小化できる暗号化の導入を積極的に検討する必要があります。
GDPR違反時の制裁金は?
Tier 1 制裁金 : DBに暗号化などの技術的なセキュリティ対策を行わなかったり、DPIA(Data Protection Impact Assessment)を実施しなかったりした場合に課せられます。この場合、1,000万ユーロ、または企業の売上総額の2%以下の金額いずれか高額の方を制裁金として支払わなければなりません。 これを避けるためには、高いレベルのセキュリティを維持し、DPIAを実施する必要があります。
Tier 2 制裁金:データの収集と使用に関連します。企業や特定の組織は、個人データを収集・処理する前に同意を得なければなりません。 また、GDPRに基づく8つのデータ主体の権利を遵守する必要があります。 違反した場合、2,000万ユーロ、または企業の売上総額の4%以下の金額いずれか高額の方が制裁金として課せられます。
このように、データ暗号化などの適切な技術的・管理的セキュリティ対策を実施しない場合や同意を得られない場合、企業に高額な制裁金が求められる可能性があります。
実際の例として、ブリティッシュ・エアウェイズは2018年8月21日から9月5日の間に自社のWebサイトでフライトを検索して予約した約50万人の顧客情報がハッカーによって流出しました。これには38万枚以上のカード決済情報が含まれていました。 この事件を調査した英国情報保護当局(ICO)は、データ流出の原因を古いITシステムとし、長い間適切に整備されていないITシステムがエラーを起こし、これが事件のきっかけになったのです。ブリティッシュ・エアウェイズはGDPRに違反したとして、年間売上高の1.5%である約1億8,000万ポンド(約250億円)の制裁金を科されました。これはICOがデータ侵害に関して企業に課した罰金としては史上最高額だとのことです。(参考: TechCrunch)
まとめ
日本とEU間では、2019年に相互の円滑な個人データ移転を図る仕組みである「十分性認定」が発効されました。これにより、多くの日本企業が煩雑な手続きなしでEU域内から個人情報を持ち出せるようになり、企業の事務手続きの負担が大きく軽減されることになりました。
しかし、手続きが容易になったとはいえ、移転された個人データは、日本の個人情報保護法だけでなく、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(補完的ルール)にも従って適切に取り扱う必要があります。また、認定されていてもデータの取得や保護に関する厳しいルールは変わりません。企業は個人データを集める際には同意を得る必要があり、収集する個人データは常に最小限の情報のみでなければならず、保管や処理過程で暗号化などの技術的保護措置が適切に行われなければなりません。
ペンタセキュリティのデータ暗号化プラットフォーム「D'Amo(ディアモ)」は、ヨーロッパの企業やヨーロッパに進出した韓国企業にもさまざまな業務環境に対して最適な暗号化方式で個人情報の暗号化を提供しています。従来使用していたシステムの修正を前提とせずに暗号化適用が可能であるため、GDPRの技術的・管理的保護措置に適切に対応できます。
D'Amoを通じた個人情報の暗号化でGDPRを遵守し、顧客と企業の資産を同時に保護することが重要です。
