GDPR(EU一般データ保護規則)とは?解説と対策

GDPR(EU一般データ保護規則)とは?

EU一般データ保護規則(General Data Protection Regulation、以下GDPR)とは、欧州経済領域(EEA)における個人情報の取り扱いについて法的要件を定めた規則です。個人情報とプライバシー保護の強化を目的としています。

■GDPR施行の背景

GDPR施行の前、1995年にEUデータ保護指令が採択されました。
EUデータ保護指令は、EU加盟各国で個人データ保護のための国内法を制定するための“指針”であるため、実際に制定された国内法は国によって内容に差異がありました。 そこで、EU加盟国共通の規則を定めようという機運が高まりGDPRが制定されることになったのです。

EUデータ保護指令は「指令(Directive)」ですが、GDPRは「規則(Regulation)」となり法規則である点が大きく異なります。

gdpr-impact
■GDPRが日本へ及ぼす影響

EUデータ保護指令では、EU域内の物理的施設(現地法人・支店・サーバーなど)を保有していることが適用要件であったのに対し、GDPRではEU域内に物理的施設を保有しない場合でも適用を受ける場合があります。

GDPR第1章の第3条 地理的適用範囲でも次のとおり定められています。

本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。

すなわち、GDPRでは、EU圏内に所在する組織に加え、EUと取引のある全ての組織が対象となります。

■GDPRの対象企業

次のような企業は、GDPRへの対応が必要です。

  • EU圏内に子会社や支店、営業所などを有している企業
  • 日本からEU圏内に商品やサービスを提供している企業
  • EU圏内から個人データの処理について委託を受けている企業

いずれもごく一般的な日本企業ではないでしょうか。

■GDPR違反における制裁金

GDPRに従わなかった場合、厳しい制裁金が課せられることになります。最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い額が適用されます。

2000万ユーロは2019年11月現在のレートで24億2000万円ほどです。

年間売上高の4%や24億円の制裁金と聞くと「脅しのためにありえない額を提示しているのであろう」と思う方もいるかもしれませんが、すでに莫大な制裁金を科されてしまった企業は複数あります。

英国のデータ保護機関、情報コミッショナーオフィス(Information Commissioner’s Office:ICO)は、英航空大手British Airwaysに対し1億8,300万ポンド(約250億円)の制裁金を科すと発表しました。

2018年9月の大規模な顧客情報流出でGDPRを侵害したとの理由からです。

gdpr-violation

また、巨大プラットフォームのGoogleも、個人データの収集およびターゲット広告への利用に関する情報をユーザーに適切に開示していなかったという理由で、5000万ユーロ(約62億円)の制裁金を科されています。

違反における制裁金を支払うリスクと事前のセキュリティ対策に予算を投じるかについて企業としての判断が問われます。

GDPRの内容

GDPRの内容を示す3つのキーワードと保護対象について解説します。

■個人データ、処理および移転の3つのキーワード

GDPRは、個人データの「処理」と「移転」に関する法であると考えると理解しやすいでしょう。

GDPRでは、EEA(欧州経済領域, European Economic Area)内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件です。

個人データ、処理および移転の例を示します。

概念
個人データ
  • 自然人の氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー識別子)
  • 身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因
処理
  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客連絡先詳細の変更
  • 顧客氏名の開示
  • 上司の従業員業務評価の閲覧
  • データ主体のオンライン識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真含むリストの作成
移転
  • 個人データを含んだ電子形式の文書を電子メールでEEA域外に送付することは「移転」に該当する
■保護対象となる個人データの範囲

GDPRでは、個人データの保護対象を決定する上で、3つの立場を定義しています。個人データが関連する個人を「データ主体」、その個人データを管理する「管理者」、管理者を代理して個人データの処理を行う「処理者」です。

データ主体、管理者および処理者の例を示します。

概念
データ主体ABC社は自社従業員の個人データを処理している。この個人データが関連するABC社の従業員個人がデータ主体である。
管理者ABC社は自社従業員の個人データを処理している。雇用者としての業務を遂行するために処理をおこなっているため、管理者に相当する。
処理者ABC社は他社のマーケティングツールの管理のため、個人データの処理を専門業としている。この機能においてABC社は処理者であり、管理者を代理して処理を行う。
■日本とEU間での十分性認定

十分性認定とは “個人データを移転できるだけの十分なデータ保護の水準を持つ“ことを認めることです。
2019年1月欧州連合は、GDPRの日本に対する十分性認定を決定しました。

EU圏内から日本への個人データの移転を行う場合に必要だった、後述する拘束的企業準則(BCR)の採択や標準契約条項(SCC)の締結が原則として不要になったのです。これによりEU圏と日本間で、個人データをよりシンプルかつスムーズに移転できるようになりました。

十分性認定が決定されるまでは、次のような対応が求められていました。

  • BCR(Binding Corporate Rules:拘束的企業準則)の締結
  • SCC(Standard Contractual Clauses:標準契約条項)の締結
  • 明確な本人同意

なお、十分性認定は個人データの域外移転のみに関わるものであり、GDPRに定めるその他の要件の遵守が必要であることには変わりがない点に注意が必要です。
十分性認定について詳しくは GDPR対策をDIYするブログも合わせてご参照ください。

グローバルと日本での個人データ保護の状況

EU圏外の各国にも影響の大きいGDPRですが、グローバルおよび日本における個人データ保護に関する規制の動向について説明します。

■日本におけるGDPR対応の現状

一般財団法人日本情報経済社会推進協会(JIPDEC)が2019年7月31日公開した「 企業IT利活用動向調査2019」集計結果(詳細版)によると、「GDPRに則り個人情報の移転を行っている」企業はわずか34.4%。

「GDPRは知っているが未対応」と「GDPRは特に気にせず個人情報の移転を行っている」の合計で33.3%となっており、日本国内ではGDPRへの対応が遅れている実態が明らかになっています。

GDPRへの対応が完了していない原因として、GDPRは日本の改正個人情報保護法と比較してもかなり厳しい内容である点が挙げられます。

例えば個人データの定義は、改正個人情報保護法では「原則氏名が含まれていないものは対象外」ですが、GDPRでは「Cookie、ビデオ映像など無記名の個人の履歴データも個人情報」と定義するなど、実対応を困難にする条件が示されています。

日本におけるGDPR対応の現状について詳しくはGDPR対策をDIYするブログも合わせてご参照ください。

■その他の個人データ保護法とグローバルの動向

ビッグデータやAI、人工知能などの技術が発展する中、個人データ保護に関するグローバルでの取り組みは積極的に刷新される動きが進むと考えられます。EU圏外の各国・地域でも次のような取り組みが行われています。

国・地域規則名
EUGDPR(EU一般保護データ規則)
日本改正個人情報保護法
中国中国サイバーセキュリティ法
ロシア個人データに関する連邦法
シンガポール個人情報保護法
APECCBPR(逆境プライバシールール)

GDPRはグローバルに先駆けてEUから発信されたものですが、ゾーホージャパンでは、今後、同様の考え方を採用した規制が国際的に広がると予測しています。

GDPRの要求事項を確実に満たすには

GDPR第2節 個人データの安全性の第32条 取扱いの安全性では、組織的および技術的に適切に個人データ保護を行うことが求められています。

■データ保護責任者(Data Protection Officer, DPO)の設置

GDPRへ対応する場合の大きな要件の一つが、データ保護責任者(Data Protection Officer、以下「DPO」)を設置することです。

データ保護責任者DPOとは?

データ管理者またはデータ処理者に指名が義務付けられる専門職であり、独立した立場で経営陣へ意見するなどの権限があります。

データ保護責任者DPOを指名する目的

GDPRがDPOの設置を要求している目的は、通常時のGDPRの運用およびデータ漏えいなど有事対応について、責任者を明らかにして説明責任を強化することです。

データ保護責任者DPOの責務

DPOが担うべき役割には次のようなものがあります。

  • 個人データを取り扱う従業員等へGDPR等による義務の通知
  • GDPR等に関する組織方針の遵守状況のモニタリングの実施
  • 個人データを取り扱う従業員への訓練や監査等の実施
  • データ保護影響評価(DPIA:Data Protection Impact Assessment)の実施に関する助言と実施状況のモニタリング
  • 取り扱いに関する問題について監督機関との窓口を担うこと

このように、現実問題としてこれらすべての要件を満たすような人材は見つからない場合も多いでしょう。その場合は、社外の専用サービスを利用することも可能です。

■プライバシーポリシーの作成

GDPRではプライバシーポリシーの作成が要求されています。個人データの処理について、目的や処理内容を伝え、データ主体の権利を遵守するためです。
プライバシーポリシーに含めるべき事項は次のとおりです

  • 取得する個人データ情報
  • 個人データの取得目的
  • 個人データの保存期間
  • 個人データの利用方法
  • 第三者(処理者)による開示・提供・共有
  • セキュリティ施策
  • クッキー等の取扱い
  • ポリシーの変更手続き・連絡
  • 個人情報の開示、訂正、削除、追加、利用停止、消去
  • 他のウェブサイトへのリンク
  • 他地域へのデータ転送
  • 連絡窓口
  • 制定、改訂日

プライバシーポリシーの作成後は、外部への告知を行うためにもWebサイトへ掲載しておくべきでしょう。

■Cookieポリシーの作成

GDPRではWebサイトでのCookieも個人データであると定義されています。EEA地域向けのWebサイトがある企業は、Cookieを取得することについて同意を得る必要があります。

GDPR に対応するためには、Webサイト閲覧者からCookie取得の同意を得る仕組みを構築することが必要となります。

当ウェブサイトは、パーソナライズされたブラウズ体験およびWebサイト閲覧に必要な機能の向上のため、Cookieを使用しています。

弊社のCookie利用はプライバシーポリシーに記載されているとおりです。Cookieの使用に同意しますか。

[同意する]

Cookieポリシーを作成し、このような仕組みで同意を得る仕組みを採用した大手企業のサイトも多くなっています。

DPOの設置、プライバシーポリシーの作成およびCookieポリシーの作成について詳しくは、 GDPR対策をDIYするブログも合わせてご参照ください。

■個人データの保護において求められる「IT対策」

GDPR第32条1項でIT対策として求められる事項としては、次の4つが挙げられています。

  1. 1.個人データの仮名化及び暗号化
  2. 2.現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力
  3. 3.物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力
  4. 4.取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス

また第33条では、個人データ保護違反時には72時間以内にデータ保護監督機関に通知することが義務付けられています。
GDPRにおけるIT対策について、詳しくはGDPR対策をDIYするブログも合わせてご参照ください。

GDPRに有効なIT対策ツール「ManageEngine」

GDPRの要件は長文であり難解です。この規則全体に対応できる単一ソリューションは存在しませんが、適切なITツールを組み合わせることによりGDPRの準拠要件の多くに対応できます。
ManageEngine製品では、GDPRの条項にて提示されている次の要件に準拠できます。

  • 注1:※の記載がある製品は、ゾーホージャパンにて日本語によるサポートサービスを提供していない製品および機能です。英語でのサポートサービス提供となります。
  • 注2:原文はこちらをご参照ください。EU法データベース

準拠している製品の詳細については、以下各条項をクリックしてください。

[個人データは] 特定された、明確かつ適法な目的のために収集されなければならず、これら目的と相容れない方法で更なる取り扱いがなされてはならない。ただし、公共の利益における保管 目的、科学的若しくは歴史的研究の目的又は統計目的のための更なる取扱いは、第89条第1項により、当初の目的と相容れない方法とはみなされない。(目的の限定の原則)」。

ManageEngine対応製品

FileAudit Plus(※) :アクセス監査レポートを利用して、不正なデータアクセス、収集、修正や削除を即座に発見。

Log360(※) :パッケージ済みアラートプロファイルを利用して、不正な動きを管理者へアラート通知。

「[個人データは] 正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去又は訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。(正確性の原則)」

ManageEngine対応製品

Desktop Central :社内の全デバイスのスキャンをスケジューリングし、継続的な個人情報の可用性と完全性を確保。

FileAudit Plus(※) :ファイル解析とストレージ解析レポートを利用して、古いデータや不正データの監視、削除。

Log360(※) :データベースを監査し、データ保存期間を特定。保存期間のしきい値に達した場合、即座に個人情報を削除。

「[個人データは] 当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。それは、無権限の又は違法な取扱いに対する保護、及び偶発的な滅失、破壊、又は損壊に対する保護を含むものとし、適切な技術的又は組織的対策を用いるものとする。(完全性及び機密性の原則)」

ManageEngine対応製品

Desktop Central :Exchangeの条件付きアクセス業務におけるサービスやデータにアクセスを試みているユーザー/デバイスを可視化。

EventLog Analyzer
:個人情報の完全性が危ぶまれる状況が発生した場合、データ保護に関わる担当者やセキュリティ担当者へ通知。
:定義済みGDPRレポートテンプレートを利用して、個人情報を保存するシステムで生じた全ての操作および個人情報自体の変更を監査。

Log360(※)
:定義済みアラートプロファイルを利用して、不正アクセスがあると利害関係者にアラートを送り、被害を事前に阻止。
:機密ファイルやフォルダの完全性を確保し、重要なファイル変更があった場合には即座に通知。

「管理者は第 1 項の義務を負い、その遵守を証明可能にしなければならない。(説明責任の原則)」

ManageEngineでの対応製品

ADManager Plusのレポート機能 :任意形式でのエクスポート、または利害関係者へ定期的にメールでレポートを送付し、安全な処理業務を証明。

「取扱いの性質、範囲、文脈及び目的並びに自然人の権利及び自由に関するリスクの様々な可能 性及び重大性を考慮し、管理者は本規則に従って取扱いが実行されていることを保証及び証明するため適切な技術的及び組織的対策を実施しなければならない。これら対策は見直され、必要に応じて更新されなければならない。」

ManageEngineでの対応製品

Desktop Central :社内の資産やデバイスが、組織が定めるポリシーに準拠していることを定期的に確認。また、社内の機密文書を、限定されたユーザーやアプリケーションに対し、管理デバイスを通じて安全に配布。

ADManager Plusのレポート機能 :セキュリティ監査の際に必要なデータをレポート化し、指定拠点に複数のファイル形式でメール送付またはエクスポート。

「管理者は、デフォルトで各具体的取扱いの目的に必要な個人データのみが取り扱われることを 保証するための適切な技術的及び組織的対策を実施しなければならない。当該義務は収集された個人データの量、取扱いの範囲、保存期間及びアクセス可能性に適用される。特に当該対策は個人データが個人の介在なしに不特定多数の自然人にアクセスされないことをデフォルトで確かなものにしなければならない。」

ManageEngineでの対応製品

Desktop Central
:ユーザーからの要請があり次第、組織のネットワークから資産/デバイスの登録を解除。また、ユーザーに関するあらゆる形態の全個人情報をサーバーから削除し、そのデータへのアクセス許可も削除。
:コンテナ化機能によりモバイルデバイスにおける個人情報と法人情報の個別管理。組織によるアクセスを会社のワークスペースに限定。

Password Manager Pro :通知ルール機能において許可の変更イベントを監査することで、個人情報に関係する不正または無断の権限変更を検出。

ADManager Plusのレポート機能 :通知ルール機能において許可の変更イベントを監査することで、個人情報に関係する不正または無断の権限変更を検出。

「各管理者及び、該当する場合、管理者の代理人は、管理下にある取扱い活動の記録を管理しなければならない。」

ManageEngineでの対応製品

ADManager Plus :社内で生じている個人情報関連の全操作の完全な監査証跡を出力。

Desktop Central :監査ログビューアーにおいて、GDPRにより義務づけられた全処理業務の記録を管理。

「到達水準、実施の管理費用、取扱いの性質、範囲、文脈及び目的、並びに引き起こされる自然人の権利及び自由に関する様々な可能性及び重大性のリスクを考慮し、管理者及び取扱者は、保護レベルをリスクに見合ったものにするため、適切な技術的及び組織的対策を実施しなければならない。」

(a) 個人データの仮名化及び暗号化

ManageEngineでの対応製品

Key Manager Plus(※) :多層な情報セキュリティ保護により転送データを保護し、公開鍵のインフラストラクチャーを容易に監視および管理。

Desktop Central :監査ログビューアーにおいて、GDPRにより義務づけられた全処理業務の記録を管理。

(b)現行の機密性、完全性、可用性ならびに取扱いシステムおよびサービスの復旧を確実にする能力

ManageEngine対応製品

Key Manager Plus(※):データ主体の本人の特定ができる情報へのアクセスを保護し暗号化。

FileAudit Plus(※) :個人情報を保管するストレージシステムと、個人情報を処理するサービス(またはアプリケーション)を継続的にモニタリングし監査。

Log360(※) :システムとサービスにおいてユーザーによる未承認のアクセスや不審な動きを監視。

ADAudit Plus :重要なリソース(ファイアウォールや、Active Directory、データベース、ファイルサーバーなど)に対するあらゆる変更を監査し、それらが検知され次第、リアルタイムでアラート通知。

(d)取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。

ManageEngineでの対応製品

Desktop Central :組織のデバイスが組織の定めるポリシーに準拠し続けていることの定期的なチェック。

Password Manager Pro :特権アクセス許可を得た不正利用者による個人情報濫用の阻止。

Log360(※) :潜在的なデータ侵害を引き起こしかねない不正な動きを監視し、確実なセキュリティを実現。

EventLog Analyzer :個人情報を保存するシステムで生じた全ての操作および個人情報の変更を監査。

「適切なセキュリティレベルの審査にあたり、特に取扱いによって生じるリスクが考慮されなければならない。特に、偶発的若しくは違法な破壊、滅失、変更、移転、蓄積若しくはその他の取扱いがなされた個人データへの許可されていない開示又はアクセス。」

ManageEngineでの対応製品

Desktop Central :デバイスがサーバーに所定期間以内にログオンしない場合はアラートを出力。

Log360(※) :異なるソースからのセキュリティに関するデータを一元化・相関解析し、潜在的なデータ侵害を即座に検出、データ損失を回避。また、修正、削除、名前の変更、さらに許可の変更などを含む個人情報の変更を監査。

「管理者及び取扱者は、管理者又は取扱者の権限下で行動し、個人データにアクセスするあらゆる自然人が、個人データを管理者からの指示以外で取り扱わないことを確実にする手段をとらなければならない。ただし、EU法又は加盟国の国内法により要求された場合を除く。」

ManageEngineでの対応製品

Password Manager Pro :個人情報を扱うシステムやアプリケーションの管理者権限アクセスの管理、監視、監査。

Log360(※) ・ADManager Plus:権限を持たないユーザーによる個人情報へのアクセスを検出。

(1)「個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が 付いてから72時間以内に、第55条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。監督機関への通知が72時間以内になされない場合には、遅滞に関する理由と共に通知されなければならない。」

(2)「取扱者は、個人データの侵害に気付いた後、不当な遅滞なしに管理者に通知しなければならない。」

(3)管理者は、個人データ侵害に関わる事実、その影響及び取られた救済手段を含め、あらゆる個人データ侵害を文書で残さなければならない。当該文書は監督機関が本条の遵守を確かめられるようにしなければならない。

Log360(※)
:DoS、DDoS、SQLインジェクションやランサムウェアなど周知の攻撃パターンを検出して抑止。相関ルールとアラートプロファイルのカスタム化によって、未知の攻撃パターンを検出し、個人情報を安全に保護。
:ログ検索にて、解析を行いやすくし、データ侵害が発生した場合には、攻撃元、影響を受けたデータとシステムや責任を負うべき当事者の特定。
:リアルタイム アラートコンソールと相関機能:ネットワークで発生したデータ侵害を即座に検出。
:網羅的レポート:全ての解析情報をエクスポートし、関係機関に提出可能なインシデントレポートを作成。

Password Manager Pro :特権IDへのアクセスとセッションを記録し、監査の対応への効率化。

免責条項: GDPRを完全に遵守するには、多種多様なソリューション、プロセス、人材、技術が必要です。上記の解決策は、IT運用管理ツールがGDPRの要件の一部を支援できる方法を示したものです。

ManageEngineのソリューションは、他の適切なソリューション、プロセス、および人材とともに、GDPRのコンプライアンスを達成し継続的な準拠に役立ちます。この資料は情報提供のみを目的として提供されており、GDPRの遵守に関する法的助言ではありません。

ManageEngineは、この資料の情報に関して明示的、黙示的、または法的な保証は一切致しません。

gdpr-diy