EU一般データ保護規則(GDPR)が新たに制定されたことに伴い、プライバシー保護法令および個人データ管理の分野ではここ何年かで最大規模の再編が起こっています。この規則は、国・地域を問わず、EU(欧州連合)市民に関わる個人データを取り扱う全ての企業が対象となります。当該規則に違反する企業は、最大でグローバル年間売上高の4%または2,000万ユーロのうち高額のほうの制裁金が科せられます。
企業が、顧客の個人データの取り扱いについて、顧客から適正な同意を得ていない、またはプライバシーバイデザインおよびその規範からなる基本原則に反した場合、同規制違反となります。
データ管理者も処理者も適用対象で、特にプライバシー影響評価の不履行、または違反の監督機関(Information Comissioner’s Office(ICO)英国情報コミッショナー事務局)への通知不履行については両者とも適用対象であることは重要な着目点です。
ここでは、ITセキュリティ分野の視点から、特に国際規格ISO27001との関連性を重視しつつ、同規制を見ていくことにします。
GDPRの概略
はじめに、GDPRの概略と、前身のEUデータ保護指令との主な違いについて確認していきます。
1. 範囲
GDPRは、EUの域内外の国家によるEU市民の個人データの取り扱い方について、遵守されるべき規則を定義しています。また、規則EU域外のデータ管理者・処理者によるEU域内の個人データの取り扱いにも適用されます。例えば、EUの住民へのサービス・商品提供の取引も、EU市民の個人の識別が可能な情報を取り扱うと定義され、そのため同規則の遵守が求められます。さらにGDPRの適用範囲は、ソーシャルメディア、画像、電子メールアドレス、およびIPアドレス等から得られる個人の識別が可能な情報に及びます。
2.合意
GDPRはデータ主体の同意の条件について変更・強化を行い、容易にアクセス可能で理解しやすい形式、明瞭で平易な文言でデータ主体から同意を求めるよう規定しています。また、データ主体による同意の撤回の手続きは、同意の付与同様に容易である必要があると規定しています。
3.罰金・罰則
GDPRは最大で2,000万ユーロまたはグローバル年間売上高の4%という相当高額な制裁金を科します。
4.プライバシー・バイ・デザイン(Privacy by Design)
プライバシーバイデザインに配慮した手続きへの修正が必要であり、GDPRの要件を満たし個人(データ主体)の権利を保護するため、管理者は適切な技術的、組織的手続きを適用しなければなりません。
5.データポータビリティ権
データ主体が個人の識別が可能な情報を受け取る際には、オープンユースでのポータビリティのある一般的なファイル形式で、機械可読性がなくてはなりません。
6.アクセス権
GDPRでは、データ主体はデータ管理者に対し、同人の個人の識別が可能な情報はどこで、どういった目的で処理されるのか否かの確認を要求する権利を有しています。さらにデータ管理者は、個人の識別が可能な情報の複製を無償で電子的に提供しなければなりません。
7.消去の権利(忘れられる権利)
データ主体は、データ管理者に対し、個人の識別が可能な情報の恒久的または要求ベースで削除、同データの配信停止、および第三者に対する同データの処理停止を要求する権利があります。
8.個人データ侵害の通知
個人の識別が可能な情報の侵害は個人の権利と自由の侵害という結果を招くことが往々にあります。そのためGDPRでは、企業が侵害を最初に認識した時点から72時間以内に、該当する監督機関に対してその旨通知することを義務付けています。またデータ処理者は顧客に対しても遅滞なくその旨通知しなければなりません。
9.データ保護責任者 (DPO)
データ管理者および処理者はデータ保護責任者を指名しなければなりません。しかしこれは、大規模なデータ主体の継続的かつ系統的な監視が中心的な業務である、または特殊なデータを取り扱うデータ管理者および処理者に限定して適用されます。
ITセキュリティガバナンスとGDPR
GDPRが規定する要件はITガバナンスに影響を与えるものですが、一方企業が裨益する面もあります。よりセキュアなデータ管理体制の確立を願う企業にとっては、この規制がその取り組みの後押しとなるでしょう。コンプライアンスの遵守には、データの移転、データ主体の同意、およびプライバシーバイデザインに関連する、個人の責任などの課題を包括するITガバナンスの枠組みの整備が必要となります。
GDPRには規定があいまいな部分もあり、法解釈が確立するまで何年もかかるかもしれません。恐らく今後判例を通じて明らかになることもあるでしょう。ITガバナンスの観点からは、組織は法的、技術的および組織的それぞれの要因のダイナミクスに焦点をあてるべきでしょう。
前述の通り、GDPRは個人の特定が可能な情報のセーフガードを目的として、プライバシーに関する取り決めおよびコントロールメカニズムを複数導入しています。これらコントロールの多くは、ISO/IEC 27001:2013、 ISO/IEC 27002:2013 、“ISO27k” standards、加えて COBIT 5でも推奨されています。
例えば、ISO27KのコントロールA.18.1.4、A.9.1.1などは、プライバシーとそのリスクアセスメントに関連する項目で、データ主体や個人の特定が可能な情報についてのデータ転送やプライバシーバイデザインといったプライバシーの問題に取り組むものだといってよいでしょう。
COBITに関しては、AP001のIT管理のフレームワークおよびの管理実践が組織構造の在り方に言及しています。COBIT 5もプライバシー担当がプライバシー漏洩のリスクとプライバシー規制の組織へのインパクトを精査するとともに、関連法令の準拠を確保する責任があるとしています。この定義はGDPR第37条 データ保護責任者(DPO)の指名要件と類似しています。
このようにGDPRには、ITセキュリティガバナンスに直接的に関わる側面が多々あります。その中でも主な課題は、事業体の中にある、特定の個人を識別できるデータの特定、およびその所在の把握において、十分に対応可能なITガバナンスの体制を構築することです。これは、GDPR第30条「取扱い活動の記録」に欠かせない条件となります。
加えて、第15条 は「データ主体のアクセス権」、第16条は「 訂正の権利」、および第17条は「消去の権利(忘れられる権利)」になります。これらの要件がGDPR遵守の基礎となります。良好なデータ管理を実施し、情報のライフサイクルを説明できる企業なら必然的にGDPRの要件を遵守していることになるでしょう。
自社の保有データのコンプライアンス確保のため、以下の取り組みが望まれます。
- GDPRの適用範囲内の全ての特定の個人を識別できるデータを把握し、その所在を特定し、管理します。
- データのリスクの全体像を理解するため、特にデータリスク管理に焦点を当て、企業の各種サービス・施設のデータ処理、保管方法に基づきデータをカテゴリー別に分類します。
- 効果的なデータリスク管理のためには、GDPRの適用される様々なカテゴリーのデータの保護のためのプロセス及び手続きの定義が必要です。
- 企業全体のITシステム及びその他のサービス関連のデータ保護のニーズを把握調整します。
データ管理者および処理者はデータ保護責任者を指名しなければなりません。しかしこれは、大規模なデータ主体の継続的かつ系統的な監視が中心的な業務である、または特殊なデータを取り扱うデータ管理者および処理者に限定して適用されます。
まとめ
GDPRは、2018年5月25日に施行されました。政府が英国の欧州離脱の決断はこの規則の履行に影響を及ぼすものではないと確認されています。この新たな規則によって、個人情報保護、データ主体の個人データ管理権限の強化が促進されることは明らかです。
データの管理者または処理者である組織は、GDPR遵守のタイムリーな実施を確実にするため、検証期間も含めた十分な時間をとって包括的な実施計画をたてます。現行の情報セキュリティおよびデータ保護の実施体制を調査し、遅くともGDPRの発効する5月までに是正しなければならない点について分析することが必要です。
よく認知された国際基準、例えばISO27001やCOBITなどの導入はデータの透明性を達成につながります。またそれを定期的にレビューを行うことで遵守が促進されます。堅牢で検証されたコントロールは、ITガバナンス活動の一助となり、個人データへのデータ主体のコントロール喪失を防ぎ、新規制に違反したことで組織が被る財政的な損失、そして信頼喪失を受けないよう予防します。この信頼喪失の側面は決して軽視できないものです。
次回は、GDPRのData Privacy by Design (DPD):プライバシーバイデザインによるデータの保護)、Data Impact Assessment (DPI:データ影響の評価)、データ主体の同意、データ違反の対応、そしてデータ保護責任者(DPO)の指名などの要素について見ていきます。
著者について:
Reza氏は、過去27年に渡りIT分野で様々なポストを歴任し、現在は情報セキュリティ分野の企業コンサルタントを務めています。情報セキュリティ、リスクマネジメント、中東での事業継続、ITガバナンスなどの幅広い分野でのコンサルタント業務が専門の二つの企業で国際マーケティングマネージャーを務めた経験もあります。現職では情報セキュリティ対策のコーチングを通じ、顧客のより効果的で効率的な情報システム、リスクマネジメント、およびセキュリティガバナンスなどのサポートを行っています。世界各地の商業・財務分野の豊富な職務経験を通じて様々な文化的背景や職業倫理に理解があるため、最新の情報セキュリティの要件、様々な脅威を熟知し、GRC環境下でよりよい結果を引き出すことができます。
Reza氏は、Information Security and Audit Control Consultancy (ISACC)のマネージングダイレクター。Information Risk Management and Assurance(IRMA)の議長、BCS(英国コンピュータ協会)特任グループ所属、およびBritish Standard Institution (BSI:英国規格機関)のRM/1 Risk Management Committee(RM/1リスクマネジメント委員会)在籍。
Juliet Flavell氏は、ITプロジェクトマネジメント、および法務分野のサービス業務で多忙を極めていました。2016年、英国の公認ITプロフェッショナルの資格を取得し、現在はテクノロジー関連の非営利組織を運営しています。
編集後記:本記事で表明された著者の意見は、あくまで本人の見解であり、必ずしも Tripwire, Inc. の見解を反映しているわけではありません。
