GDPR施行は、日本のITエキスパートにとってよそごとなのか?:GDPR初歩の初歩(1)
EUの新しい個人情報保護規制「GDPR」の施行が半年後に迫っています。EUに立地する企業はもちろん、事業所がなかったとしてもEU域内で事業を展開する日本企業には「域外適用」として規制の対象になる場合があります。どのような企業が対象となるのか、規制に対応するためには何をすればよいのか、解説します。
GDPRの施行迫る――「EUの会社は大変だね」では済まされない
2018年5月に施行を控えたEU(欧州連合)の新しい個人情報保護規制「GDPR(General Data Protection Regulation、一般データ保護規則)」。GDPRの関連情報が、日本でも頻繁に報道されるようになり、巨額の制裁金が特にクローズアップされています*1)。
とはいえ、「GDPRはEUの中での話でしょ?」とよそごとのように捉えている方が少なくないのではないでしょうか。
実際には、EU居住者の個人情報を扱う企業、団体は、地理的な場所を問わず、法規制の対象となります (図1)*2)。言いかえれば、EU域内でビジネスを展開する限り、いかなる企業もGDPRを順守しなければなりません。
*1) 対象企業の全世界年間売上高の4%、または、2000万ユーロのいずれか高い方を上限とする。
*2) EU加盟国に加えて、アイスランド、リヒテンシュタイン、ノルウェーを含むEEAがGDPRの対象となる。本記事中では、以下EEAの範囲を「EU」と表記した。
短期連載では、GDPRへの対応を考える第一歩として、「域外適用」と「ITを用いたGDPRへの対応例」を説明します。個人情報を暗号化することがGDPRを順守するため(もちろん、情報漏えい事故による顧客の被害や自社ブランドを損なわないため)に、大きく貢献をすることが要点です。
「域外適用」――日本企業もGDPRの規制を逃れられない
GDPRのそもそもの目的は、市民の個人情報保護にあります。例えば「忘れられる権利」(自己に関わるデータを企業のデータベースなどから消去させる権利)を規定している点で、画期的ともいえます。
目的が個人情報保護ですから、個人情報を扱う企業がどこの国にあるのかは、規制に関係がありません。言いかえれば、EU居住者の個人情報を扱う限り、企業が世界のどこに位置しようとも、GDPRの規制下に入るのです。EU領域外にも範囲が及ぶという意味で、「域外適用」という用語を使います。
例えば消費者向けeコマースサイトでEUからの注文を受ける企業、個人向けクラウドサービスを世界的に展開している企業、ともに、GDPRの順守を求められます(図2)。さらに、日本企業の国内本社が欧州子会社の顧客情報を共有する場合、「本社側でも」順守しなければなりません。
施行されるまでは、どれほど厳密に規制が運用されるのか、不透明だという見方もあります。しかし、規制が始まって早々に制裁の例を示すのではないかとの観測もあり、のんびり構えていること自体がリスクだといえるでしょう。
個人情報の暗号化は、GDPR順守に寄与する
GDPRを順守するといっても、では一体何から着手するのか? ITの視点からアプローチしやすい施策として、「個人情報の暗号化」があります。
GDPRの巨額の制裁金は、重大な情報漏えいが発生した場合に課される2つの義務(当局への72時間以内の報告、漏えいしたデータの本人への通知)を適切に果たさなかった企業を対象としています。
ただし、本人への通知に関しては、次のような例外規定が定められています。
図3の内容を言いかえれば、個人情報を暗号化して業務を運用していれば、万一情報漏えいが発生した場合に、本人への通知義務が免除されるのです。
データが暗号化されていれば、情報の悪用を回避でき、顧客に被害が生じません(図4)。加えて個人情報流出を公にすることで巻き起こるかもしれない社会的批判、ブランド価値の低下、こういった課題に備えることができるでしょう。
個人情報を暗号化する際、考慮しなければならない点が3つあります。次回は個人情報を暗号化して運用する基本的な流れを紹介します。
筆者紹介
中村 久春(なかむら ひさはる)
ジェムアルト株式会社のアイデンティティ&データ プロテクション事業本部(旧セーフネットのビジネスを含むジェムアルトの企業向けセキュリィティビジネス)の本部長。HSM(ハードウェア・セキュリィティ・モジュール)と呼ばれる鍵管理製品やデータベースなどの機密情報の暗号化を行う製品、認証トークンやソリューション・サービスを国内のパートナーやユーザーに提供するエンタープライズ向けビジネスを統括。現職以前は、日本国内のICカード(クレジットカード、キャッシュカードなど)を中心とした金融機関向けのビジネスやモバイル決済サービス、エンタープライズ向けセキュリティ商品や政府系プロジェクト、オンラインバンキング向けのビジネスなどに従事。リージョナルセールスディレクターとして日本以外にもタイやベトナムなどアジア諸国の金融機関向けビジネスを統括した経験がある。ジェムアルト入社以前は、アメリカン・エキスプレス、インテルなどのグローバル企業においてさまざまな管理職の経験を積み、金融業界やIT関連業界の主要顧客との新規ビジネス開拓や関係強化に従事。米国アリゾナ州サンダーバード国際経営大学院(Thunderbird, School of Global Management)にて経営学修士号(MBA)を取得。
Copyright © ITmedia, Inc. All Rights Reserved.