GDPRとサイバーセキュリティ法:日本に与える影響ととるべき対策
欧州における個人データ取り扱いについて定めたGDPRと、中国国内のデータ取り扱いやデータの移動について定めたサイバーセキュリティ法。どちらも海外の法律ですが、国内企業にも大きく関わってきます。
日本における個人情報取り扱いのルールは、欧州や中国と比べるとさほど厳格とはいえません。ゆえに、国内ルールにだけ従っていると、思わぬところから違反の指摘を受けることになってしまいます。
インバウンド消費や越境ECで世界との境界線が曖昧になった今、個人情報の取り扱いについても国際的な基準を知っておくことが重要です。
本記事では、
【目次】
GDPRは、General Data Protection Regulationの略で、日本語では「一般データ保護規則」と訳されます。
欧州議会と欧州理事会によって制定され、2016年4月に採択、その後2018年5月25日から適用となっています。
ちなみに1995年から適用前までの間、欧州では「EUデータ保護指令」に則って情報の取り扱いがおこなわれていました。GDPRは、このデータ保護指令よりも厳格に情報取り扱いについて定めた規則になります。
例えば、マイナンバーやパスポート番号はそれ単体で個人が特定できる情報といえるでしょう。
このように単体で個人を特定できる情報だけでなく、一見個人の特定にはつながりそうにない購買履歴やGPSデータなどもいくつかの項目を組み合わせれば個人を特定することが可能なため、個人情報として扱う必要があります。
これらの情報について、もしGDPRの定める規則にそぐわない不適切な活用が確認された場合、制裁が科されます。
GDPRに違反した場合の制裁金決定について、計算式は特に公表されていません。しかし、上限額はグループ企業の年間売上高の4%と定められています。
2019年1月には、フランスのデータ保護機関がGoogleに対して5,000万ユーロ(約62億円)の制裁金を支払うよう命じました。
フランスのデータ保護機関は、Googleの広告を目的とした個人情報の処理に有用な法的根拠がないと主張し、それが認められたために制裁金の支払いが発生したかたちです。
顧客50万人の個人データを流出させたブリティッシュ・エアウェイズは1億8,300万ポンド(約246億円)、マリオット・インターナショナルは3億3,900万件の宿泊記録や個人データを流出させたとして9,900万ポンド(約133億円)の支払いをそれぞれ命じられています。
いずれもGDPRの課す制裁金額は高額であり、個人情報の扱いの不透明さに断固とした態度をとっていることが分かります。
先に挙げた事例はいずれも世界的な大企業ばかりだったので、日本の中小企業なら少しくらい遵守しなくても問題ないと思うかもしれませんが、決してそのようなことはありません。
現に、GDPRが適用された後には、オーストリアの企業が敷地内に設置していたCCTVカメラが不適切な監視をおこなっていたとして4,800ユーロ(約60万円)を、ドイツのチャットプラットフォーム運用企業が2万ユーロ(約250万円)を支払うようそれぞれ命じられています。
先の事例よりは少額ですが、どちらも企業の規模から換算すると「制裁」として十分に機能する金額と報じられています。
日本国内を拠点にしている企業でも、EU内に支店もしくは営業所がある企業、EU向けに商品及びサービスを提供している企業はGDPRに準拠したデータの取り扱いが求められます。 欧州からの旅行者と接する店舗や交通事業社、宿泊施設、EUから閲覧されるECサイト運営者は、特に気をつけましょう。
GDPRが直接的にかかわってくる企業の例を、次に挙げています。
つまり、GDPRに準拠した個人情報の管理が必要になります。
ECサイトの運営会社のほか、現地と取引がある企業がEU向けにヘルプデスクサイトを設置している場合などもこれに当てはまります。
これは管理者に代わってGDPR対象となる個人情報を取得している企業をさし、「処理者」に合った法律の遵守が求められます。
欧州のGDPR対策とは別に、中国のサイバーセキュリティ法についても留意する必要があります。
2017年6月に中国で施行されたサイバーセキュリティ法は、「網絡安全法」といい、データのセキュリティ強化と、中国国外へデータを越境移転することについて定めています。つまり、輸出入における物流のルールと同じように、サイバー空間にも情報の移動ルールを設けようというのがこの法律の趣旨です。
セキュリティ対策状況の調査や、安全性の評価、マネジメント体制やIT環境の整備状況なども、併せてチェックされます。
サイバーセキュリティ法に抵触した場合は、罰金にくわえて企業とIT責任者の事業ライセンス取り消し、事件の公表などの制裁が科されます。
白書では、サイバーセキュリティ法の懸念すべき事項として、この法律が個人情報だけでなく産業データなどの重要データにおいても国外移転規制として機能しうることに言及し、対策が必要だと述べています。
現に海外をみると、Appleはサイバーセキュリティ法が施行されてから、対策として中国国内にデータセンターを設置すると発表しています。これにともない、iCloudサービス運営を中国企業へ移行させることも発表されていました。中国国内でデータセンターを運営するためには、中国資本の企業が過半数の株式を保有する合弁会社が必要になるからです。
中国に関しては、越境ECや旅行関連企業だけでなく、製造業などもサイバーセキュリティ法に抵触しないよう、情報通信の策定動向をチェックすることが求められるでしょう。
2017年5月以前は、5,001人以上の個人情報を扱う事業者のみが対象でしたが、現在では中小企業、行政や医療の現場に至るまですべてこの法律の適用範囲になっています。
この法律では
しかし定められているのは、個人情報を取得する際に本人に知らせる、個人情報の利用目的を明確にする、安全なセキュリティレベルで個人情報を保管するといったベーシックな内容。
違反した場合は、6ヶ月以下の懲役または30万円以下の罰金が科せられますが、内容としては欧州や中国で策定された法律ほど厳格な定めがないという印象です。
いいかえれば、国内の個人情報取り扱いと同じように海外向けの個人データや重要データを扱っていると、GDPRやサイバーセキュリティ法に抵触するリスクが高まってしまうともいえます。
オンラインが当たり前に存在する現代社会。国境を越えたビジネスを展開することも珍しくない今だからこそ、個人情報について国際的な取り扱い基準を知っておくべきです。
GDPRの制裁例としてよくあるのが、不用意な情報流出や漏洩です。それを防ぐためのセキュリティ対策についてまとめました。
通知義務は、速やかに報告することでデータ保護機関と漏洩が発生した企業が連携して被害を最小限に食い止めることができるため、GDPRが重要視している規定です。
ある事例では、情報漏洩が分かった時点から速やかにその事実を申告したかどうかが、制裁金算定に影響しました。
このことから、万が一漏洩やセキュリティ違反が判明した際は、速やかな報告をすることが重要といえます。
一方で、パスワードを管理する際のハッシュ化、つまり暗号化は充分にその重要性が浸透しているとはいえません。
以前からセキュリティリスクとして指摘されてきたことですが、ここへきて暗号化していない管理におけるリスクが顕在化した事案が確認されています。
GDPRが明確に「保存における暗号化の手順」を策定しているわけではないので、管理を暗号化していないからといってすぐさま違反となるわけではありません。しかし、漏洩のリスクが高い状態を放置しておくのは決して得策ではないことを認識しておくべきでしょう。
アクセス管理は、次の3つのステップを整備することでセキュリティレベルを高く保つことができるでしょう。
なお「admin」など共有で使わざるを得ないIDについては、別に識別追跡できるような構造をつくっておく必要があります。
また、認証が形骸化しないように、パスワードの管理法についてもアクセス権をもつメンバーの間で規定を定めておく必要があるかもしれません。
ユーザーの種別ごとにアクセス先を限定し、重要度Bの情報には権限をもつ20人全員がアクセスできるが、重要度Sの情報にはそのうちの5人しかアクセスができない、というような環境を構築すると安全です。
日本における個人情報取り扱いのルールは、欧州や中国と比べるとさほど厳格とはいえません。ゆえに、国内ルールにだけ従っていると、思わぬところから違反の指摘を受けることになってしまいます。
インバウンド消費や越境ECで世界との境界線が曖昧になった今、個人情報の取り扱いについても国際的な基準を知っておくことが重要です。
本記事では、
- GDPRとサイバーセキュリティ法についての概要
- それぞれが日本に与える影響
- 日本で今すぐにできる対策
【目次】
GDPRとは
GDPRは、General Data Protection Regulationの略で、日本語では「一般データ保護規則」と訳されます。
欧州議会と欧州理事会によって制定され、2016年4月に採択、その後2018年5月25日から適用となっています。ちなみに1995年から適用前までの間、欧州では「EUデータ保護指令」に則って情報の取り扱いがおこなわれていました。GDPRは、このデータ保護指令よりも厳格に情報取り扱いについて定めた規則になります。
GDPRに違反すると莫大な制裁金が科される
GDPRは、「個人を識別できる情報」、「複数を組み合わせることで個人の識別ができる情報」を個人情報としています。例えば、マイナンバーやパスポート番号はそれ単体で個人が特定できる情報といえるでしょう。
このように単体で個人を特定できる情報だけでなく、一見個人の特定にはつながりそうにない購買履歴やGPSデータなどもいくつかの項目を組み合わせれば個人を特定することが可能なため、個人情報として扱う必要があります。
- 氏名
- 識別番号
- 住所
- メールアドレス
- IPアドレス
- Cookieをはじめとするオンライン識別子
- パスポートやクレジットカードの情報
- 身体的、生理学的、遺伝的、精神的な特徴についての情報
- 経済的、文化的、社会的固有性に関する情報
これらの情報について、もしGDPRの定める規則にそぐわない不適切な活用が確認された場合、制裁が科されます。
GDPRに違反した場合の制裁金決定について、計算式は特に公表されていません。しかし、上限額はグループ企業の年間売上高の4%と定められています。
2019年1月には、フランスのデータ保護機関がGoogleに対して5,000万ユーロ(約62億円)の制裁金を支払うよう命じました。
フランスのデータ保護機関は、Googleの広告を目的とした個人情報の処理に有用な法的根拠がないと主張し、それが認められたために制裁金の支払いが発生したかたちです。
顧客50万人の個人データを流出させたブリティッシュ・エアウェイズは1億8,300万ポンド(約246億円)、マリオット・インターナショナルは3億3,900万件の宿泊記録や個人データを流出させたとして9,900万ポンド(約133億円)の支払いをそれぞれ命じられています。
いずれもGDPRの課す制裁金額は高額であり、個人情報の扱いの不透明さに断固とした態度をとっていることが分かります。
GDPRが日本に与える影響
GDPRがそれまでのEUデータ保護指令と大きく異なる点は、IPアドレス、Cookieなどのオンラインにおける識別情報を「個人情報」に含めたことです。これによって、Cookieの取得に関してもユーザーの同意を得る必要が生じました。先に挙げた事例はいずれも世界的な大企業ばかりだったので、日本の中小企業なら少しくらい遵守しなくても問題ないと思うかもしれませんが、決してそのようなことはありません。
現に、GDPRが適用された後には、オーストリアの企業が敷地内に設置していたCCTVカメラが不適切な監視をおこなっていたとして4,800ユーロ(約60万円)を、ドイツのチャットプラットフォーム運用企業が2万ユーロ(約250万円)を支払うようそれぞれ命じられています。
先の事例よりは少額ですが、どちらも企業の規模から換算すると「制裁」として十分に機能する金額と報じられています。
日本国内を拠点にしている企業でも、EU内に支店もしくは営業所がある企業、EU向けに商品及びサービスを提供している企業はGDPRに準拠したデータの取り扱いが求められます。 欧州からの旅行者と接する店舗や交通事業社、宿泊施設、EUから閲覧されるECサイト運営者は、特に気をつけましょう。
GDPRが直接的にかかわってくる企業の例を、次に挙げています。
EUに子会社や営業所がある
EUに子会社、支店、営業所があり、かつ個人データの取り扱いがある場合、その企業は「管理者」とみなされます。つまり、GDPRに準拠した個人情報の管理が必要になります。
EU企業を通さずにEU居住者のデータを扱う企業
EUに子会社がない日本企業でも、EU現地の居住者向けに商品やサービスを提供している場合は、個人情報の「管理者」としてGDPRの適用企業となります。ECサイトの運営会社のほか、現地と取引がある企業がEU向けにヘルプデスクサイトを設置している場合などもこれに当てはまります。
EU域内から外部へのデータ移転を受けている企業
EU域内企業で取得した個人データを日本からアクセスできる状態で受け取る企業も、GDPRの適用範囲になります。- 取引先情報が添付されたメールをEU〜日本間でやりとりしている
- EU企業の人事システムに日本の担当者がアクセスできるかたちで仕事をしている
業務委託でEU居住者の個人データを扱っている
業務委託でEU居住者の個人情報を収集している場合、その企業はGDPRでいうところの「処理者」となります。これは管理者に代わってGDPR対象となる個人情報を取得している企業をさし、「処理者」に合った法律の遵守が求められます。
中国のサイバーセキュリティ法とは
欧州のGDPR対策とは別に、中国のサイバーセキュリティ法についても留意する必要があります。2017年6月に中国で施行されたサイバーセキュリティ法は、「網絡安全法」といい、データのセキュリティ強化と、中国国外へデータを越境移転することについて定めています。つまり、輸出入における物流のルールと同じように、サイバー空間にも情報の移動ルールを設けようというのがこの法律の趣旨です。
セキュリティ対策状況の調査や、安全性の評価、マネジメント体制やIT環境の整備状況なども、併せてチェックされます。
サイバーセキュリティ法に抵触した場合は、罰金にくわえて企業とIT責任者の事業ライセンス取り消し、事件の公表などの制裁が科されます。
サイバーセキュリティ法が日本に与える影響
政府は、平成30年版の情報通信白書の第2節「日本と世界のデータ関連制度」でサイバーセキュリティ法にふれています。白書では、サイバーセキュリティ法の懸念すべき事項として、この法律が個人情報だけでなく産業データなどの重要データにおいても国外移転規制として機能しうることに言及し、対策が必要だと述べています。
現に海外をみると、Appleはサイバーセキュリティ法が施行されてから、対策として中国国内にデータセンターを設置すると発表しています。これにともない、iCloudサービス運営を中国企業へ移行させることも発表されていました。中国国内でデータセンターを運営するためには、中国資本の企業が過半数の株式を保有する合弁会社が必要になるからです。
中国に関しては、越境ECや旅行関連企業だけでなく、製造業などもサイバーセキュリティ法に抵触しないよう、情報通信の策定動向をチェックすることが求められるでしょう。
・平成30年版 情報通信白書
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/n1200000.pdf
日本の個人情報保護法とは
日本にも、個人を特定する情報を適切に扱うよう定めた「個人情報保護法」はあります。2017年5月以前は、5,001人以上の個人情報を扱う事業者のみが対象でしたが、現在では中小企業、行政や医療の現場に至るまですべてこの法律の適用範囲になっています。
この法律では
- 個人情報の取得
- 個人情報の利用
- 個人情報の保管
しかし定められているのは、個人情報を取得する際に本人に知らせる、個人情報の利用目的を明確にする、安全なセキュリティレベルで個人情報を保管するといったベーシックな内容。
違反した場合は、6ヶ月以下の懲役または30万円以下の罰金が科せられますが、内容としては欧州や中国で策定された法律ほど厳格な定めがないという印象です。
いいかえれば、国内の個人情報取り扱いと同じように海外向けの個人データや重要データを扱っていると、GDPRやサイバーセキュリティ法に抵触するリスクが高まってしまうともいえます。
オンラインが当たり前に存在する現代社会。国境を越えたビジネスを展開することも珍しくない今だからこそ、個人情報について国際的な取り扱い基準を知っておくべきです。
今からできる個人情報のためのセキュリティ対策
GDPRの制裁例としてよくあるのが、不用意な情報流出や漏洩です。それを防ぐためのセキュリティ対策についてまとめました。GDPRのためのセキュリティ対策1. 迅速な報告
GDPRは、何らかの漏洩や違反があった場合は72時間以内に申告すべしという、データ漏洩通知義務を定めています。通知義務は、速やかに報告することでデータ保護機関と漏洩が発生した企業が連携して被害を最小限に食い止めることができるため、GDPRが重要視している規定です。
ある事例では、情報漏洩が分かった時点から速やかにその事実を申告したかどうかが、制裁金算定に影響しました。
このことから、万が一漏洩やセキュリティ違反が判明した際は、速やかな報告をすることが重要といえます。
GDPRのためのセキュリティ対策2. パスワード管理を暗号化
パスワード入力時におけるインターネット通信の暗号化は、ほとんどの企業ですでに導入済みかと思います。一方で、パスワードを管理する際のハッシュ化、つまり暗号化は充分にその重要性が浸透しているとはいえません。
以前からセキュリティリスクとして指摘されてきたことですが、ここへきて暗号化していない管理におけるリスクが顕在化した事案が確認されています。
GDPRが明確に「保存における暗号化の手順」を策定しているわけではないので、管理を暗号化していないからといってすぐさま違反となるわけではありません。しかし、漏洩のリスクが高い状態を放置しておくのは決して得策ではないことを認識しておくべきでしょう。
GDPRのためのセキュリティ対策3. 徹底したアクセス管理
アクセス管理のセキュリティは、サイバー空間における情報取り扱いにおいて、基礎中の基礎ともいえるものです。アクセス管理は、次の3つのステップを整備することでセキュリティレベルを高く保つことができるでしょう。
特定個人に紐づくIDの発行
アクセスした人が特定できないという事態を避けるため、アクセスできる人数分のIDを発行し、誰が情報にふれたのかを明確にするシステムづくりが重要です。なお「admin」など共有で使わざるを得ないIDについては、別に識別追跡できるような構造をつくっておく必要があります。
ユーザー認証
ユーザー認証の主な方法には、パスワード、トークン、生体認証などがあります。これらのうちから1つ以上の認証を導入することでセキュリティレベルを高く保つことができます。また、認証が形骸化しないように、パスワードの管理法についてもアクセス権をもつメンバーの間で規定を定めておく必要があるかもしれません。
限定的なアクセス先の生成
権限をもつ誰もが自由にどんな情報にもアクセスできる状況は、セキュリティ上、好ましくありません。ユーザーの種別ごとにアクセス先を限定し、重要度Bの情報には権限をもつ20人全員がアクセスできるが、重要度Sの情報にはそのうちの5人しかアクセスができない、というような環境を構築すると安全です。
まとめ
欧州のGDPR、中国のサイバーセキュリティ法、ともにこれからのEC戦略において考慮しなければならない法律です。知らずに違反をしたり漏洩のリスクを高めたりしないように、できる限りの対策をしていきましょう。
