GDPRを斜め読みしてみよう

GDPRを斜め読みしてみよう

イントロダクション

EUのGDPR(General Data Protection Regulation:一般データ保護規則)が2018年5月25日に施工され、初日にいきなりFacebookとGoogleが提訴されたことはIT界隈では比較的大きなニュースとして取り上げられました。他にもロサンゼルス・タイムスなどのアメリカの一般紙のWebサイトがEU域内から閲覧できなくなったりしているそうです。

この1年ほど日本国内でも対策を急ぐ声が高まっていたGRPRですが、実際に対策を取っている企業はほんのわずかのようです。
EUの法律に日本企業がどのような影響を受けるのかというのが、対策が進んでいない一番の理由だと思われます。直接EU加盟国と取引があったり、現地に法人があるような企業は我が事としてとらえていますが、国内専業の企業にとっては「多分あまり関係なさそう」くらいの感覚かもしれません。

情シスの担当者であれば一度は聞いたことがあり、簡単にでも調べたことくらいはあるであろうGDPR。今回はこの法律の内容と、日本企業にどんな影響があるか、できるだけ簡単に説明していきたいと思います。

スポンサーリンク

GDPRとは

個人データ保護に関する規則

「できるだけ簡単に」としたので、まずは要点を箇条書きにしてみます。

GDPRの概要
・個人データの適正な管理は基本的人権の保護だ!違反したら罰する!
・EU加盟国 + ノルウェー、アイスランド、リヒテンシュタインの3か国(以下EEA)で営業していなくても、ネット取引でEEA域内の人の個人データをやり取りしたりしてるなら対象だ!EEA域外の連中でも容赦しない!
・企業だろうが公共団体だろうが非営利団体だろうが国だろうが全部対象だ!規模の大小は関係ない(一部例外措置あり)!
・個人情報保護のためにデータ保護責任者を置け!場合によってはEEA域内に代理人も置いておけ!
・ただしEEA域内の個人情報の移転は規制しません。EUに国境は無い。

書き方の問題もありますが、「正しいことをしているのだから、是が非でも従ってもらう」感が漂う規則ですね。世界中に警察権を行使するような感じを受けるのは私だけでしょうか。ちなみに罰則は巨額の制裁金です。

とにもかくにもEUで決まったこの規則がGDPRです。

個人情報とは

従来の個人情報の範囲は「個人が特定できるもの」を基準に、以下のような段階で管理されており、下に行くほど高いレベルで管理しなければいけません。

基本レベル:住所、氏名、電話番号
センシティブ情報:資産などの信用情報、趣向、学歴、結婚歴
ハイセンシティブ情報:医療情報や政治的/宗教的な思想・信条

日本でも個人情報保護についてはきちんと法律もあるし、大丈夫なんじゃないの?と思いそうですが、GDPRがこれだけ大騒ぎになっているのは「個人情報」に含まれる範囲が既存の法律より広くなっています。

cookieは個人情報

GDPRが対象にしたもの、それは「IPアドレス、cookie」です。

確かにIPアドレスは名前の通りアドレス=住所として個人を特定できます。
cookieに至ってはWebブラウザの閲覧履歴に様々な情報を内包しており、中にはセンシティブ情報、ハイセンシティブ情報が含まれる場合もあります。
cookieはその特性からWeb広告のマッチング等に利用されてきましたが、それも規制するということです。
つまりEEA域内のパソコンからアクセスされたWebサイトが、パソコンのcookieを利用して広告を表示することも「個人情報」を扱っているということになります。

GDPRは個人情報の取得や利用を全面的に禁止しているのではなく、「本人の同意の上で」取得、利用を行うことは許可しています。Webサイトであれば「あなたの個人情報を利用しますがいいですか?」のような承諾を求めることになります。

「そんな対策とれないからEEA域内からのアクセスだけシャットアウトしておく!」としたのがアメリカの一般紙で、EEA域内からの接続を規制してしまいました。
「ちゃんと対策しているよ」としていたのに「お前らの個人情報の利用許諾確認は、許諾する以外に方法が無いので、実質許可を得ていないのと同じだ!」みたいな言いがかりをつけられたのがFacebookやGoogleで、GDPR施行当日に待ってましたとばかりに訴訟を起こされました。

EEA域内に「いる」個人全員が保護対象

GDPRが情報を保護する対象としている個人の範囲もかなり広いです。
GDPRが保護するのはEEA域内に「いる」個人は全員です。

「国籍がある」でも「居住している」でもなく、旅行や出張で一時的に滞在している人まで全てを対象としています。
EEA域内に渡航中の日本人が自分の情報を日本へ送る場合も適応されるというわけです。

この辺は理解しておかないと規則にひっかかる可能性があるかもしれません。
つまり利用者の国籍や現住所ではなく、「今いる場所」が問題になるのです。

その他、個人データ移転の法的要件だとか、移転する側にもされる側にも管理者を置きなさいとか、EEA域内に管理者が置けないなら代理人を立てなさいとか、インシデントが発生したら72時間以内に監督機関に届け出なさいとか色々小難しいことを言われていますが、斜め読みなのでこの辺は割愛します。

日本企業は何をしておかなければいけないのか

自社が取り扱っている個人情報を棚卸しておこう

GDPRは直接的にEEA域内と取引をしている企業以外にも影響を受ける可能性があることはなんとなくわかったところで、「じゃあ何しておけばいいの?」という話です。

結論としては、「何の対策もせずにいきなり訴えられたら困るので、『GDPR基準でちゃんと個人情報管理してますよ』と言える準備をしておく」しかないということになります。

個人情報管理自体既に行っている企業は、追加でGDPRで追加になる観点に基づいて自社が取り扱う個人情報を棚卸しましょう。
該当するものが本当にないか確認しておくことで、「わが社は該当する個人情報を取り扱っていませんよ」という根拠にできるようにしておきましょう。
もし扱っているものがある場合は、他の個人情報と同様に適切な管理を行うようにしておきましょう。

データの対処ができるようにしておく

本人の同意のもとであれば個人情報の取得や利用を許可していますが、本人からの申し出があれば利用の停止や削除に応じなければいけません。
この考え方も従来の個人情報管理と同じではありますが、管理対象が増えるということはそのデータが停止や削除の対応が可能かどうか確認しておく必要があります。

このように、基本は現在の個人情報管理のルールに基づいて、管理対象としてGDPRの範囲となっているデータを追加できるかを検討することがGDPR対策になる、と考えても間違いではないかもしれません。

スポンサーリンク

あとがき

Web系の対策はしっかりと

今回の話の途中で出てきたように、cookieが個人情報として取り扱われるということで、Web系については特に対策を行う必要があります。
斜め読みではなく、しっかり読んでおくことをお勧めします。

法改正はベンダーのビジネスチャンス

ベンダーにとって法改正はビジネスチャンスの一つです。法律は有無を言わさず従わなければならないので、法律に準拠したシステム導入や改修など新たな提案を持ち掛けてきます。
GDPRが盛り上がったのも、ベンダー側がしかけたキャンペーンと見る節もあります。

だからといって個人情報の管理をおろそかにしていいわけではありません。
GDPR対応をよい機会と捉えて、管理情報の棚卸を行ってみるのもよいかもしれません。

セキュリティカテゴリの最新記事