EU の一般データ保護規則(General Data Protection Regulation、GDPR)が、2018年5月25日に発効しました。GDPR への対策は、欧州連合(EU)に拠点を置く組織だけの関心事ではなく、世界中の企業にとって重要な優先課題になっています。
GDPR は、データ保護に関する高い基準を定めており、EU に拠点を置いているかどうかにかかわらず、EU 在籍者の個人データを処理する組織に適用されます。GDPR の基準は、現在の米国のプライバシー法で設定された基準よりもはるかに厳しく、どの国においてもこれまでの個人データ処理を見直す必要があります。違反すると、最高で 2,000万ユーロ(現在のレートでは約25億円)または世界全体での年間売上高の4%のいずれか大きい方の額の罰金が課せられます。
GDPR は、個人データの収集と処理において個人の権利が最優先されるべきことを保証する7つのデータ保護原則に基づいています。
このブログに始まる今後の一連のブログで、データ保護の7つの原則について掘り下げ、データを保護して GDPR やその他の規制ガイドラインを遵守するにはどうすべきかを論ずる予定です。
まず最初に、GDPR の基本を確認したいと思います。
GDPR とは、何なのでしょうか?
一般データ保護規則(General Data Protection Regulation 、GDPR)は、欧州連合(EU)内の28カ国のすべての加盟国に関連する新しいデータ保護法です。
GDPR は、EU 加盟28カ国がそれぞれ独自に規定していたデータ保護のための規制に代わるものとして、EU 全体に適用されるデータ保護規制です。
これは、1995年に採択された EU データ保護指令の原則を時流に合うように大幅に改めたものです。規制当局がデータ管理者とデータ処理者(詳細は後述)と呼称する組織によって処理される EU 居住者の個人データに適用されます。
新しい規制は、個人データの処理および保管方法に関するユーザーのコントロールを強化し、ユーザーに消去権、同意権、通知を受ける権利、データ・ポータビリティに関する権利、個人データを削除する権利(いわゆる「忘れられる権利」)などの主要な権利と自由を与えるものです。
以下で、GDPR に関する主な質問に答えていきます。
GDPR の発効はいつですか?
GDPR は、2016年の4月に法律として採択され、2018年5月25日に発効しました。EU 在籍者の個人データを収集、保管、処理する組織は、一般データ保護規則を遵守しなければなりません。
個人データの定義は何ですか?
個人データとは、それ自体で、または所有者がアクセスする可能性のある他のデータと組み合わせて、個人を識別するために使用することができる任意のデータです。サイバー犯罪者にとっては、個人データの収集、処理、および転送は、様々な業種に対するフィッシング、サービス拒否、ランサムウェア、持続的標的型攻撃に利用することができます。
データ管理者とデータ処理者の定義は何ですか?
管理者と処理者は GDPR が適用される2つの異なるタイプの組織で、ユーザーのデータを「管理する」組織と、それを「処理する組織」として区別されます。
処理者とは、EU 居住者の個人情報を収集、処理、保管、送信する組織であり、管理者とは、処理者の処理内容を指示する組織です。
つまり、管理者が個人データ処理の方法とその理由を定義し、処理者が管理者の指示にしたがって処理を実施します。たとえば、小切手の画像処理を外注する銀行はデータ管理者であり、受注業者がデータ処理者になります。
GDPR の下では、処理者はすべての処理アクティビティの監査証跡を保持する必要がありますが、管理下のすべてのデータ処理者が GDPR を遵守するようにすることはデータ管理者の責任です。処理者のネットワークで違反が発生した場合、管理者はデータ保護の義務を怠った責任を免れません。
管理者と処理者の間の個人データの転送は安全でなければならず、処理中にデータを保護する必要があります。処理後に、必要でなくなった個人データを削除することがデータ処理者に要求される場合もあり得ます。
GDPR を遵守する必要があるのは誰ですか?
GDPR は、EU 居住者の個人データを収集、保管、処理するすべての組織に適用されます。本社がどこに所在するかは関係ありません。EU 内に物理的に所在地を持たない企業であっても、GDPR を遵守しなければなりません。
HIPAA に準拠していれば、GDPR は満たしていると考えてもいいでしょうか?
いいえ、そうとは言えません。重複する点もありますが、GDPR はもっと厳しく、より広範な規制です。両者の違いについては、ここで詳しく論じられています。
違反した場合の罰則はどの程度ですか?
GDPR を遵守しなかった場合、最高で2,000万ユーロ(現在のレートでは約25億円)または世界全体での年間売上高の4%のいずれか大きい方の額の罰金が課せられます。
英国の場合はどうですか?Brexit によって免除されますか?
いいえ、Brexit があっても、英国の企業は GDPR を遵守しなければなりません。EU からの撤退の日付は、GDPR 発効の2018年5月よりも後なので、英国の企業は EU の管轄下にあり、GDPR の対象となります。Brexit で EU の管轄から外れたとしても、英国の事業者は、EU 居住者の個人データを収集、保管、処理する限りは、他地域の企業と同様、依然として GDPR を遵守する必要があります。
GDPR の詳細な分析とそれが何を含意するかについては、Procrastinator's Guide to the GDPR を参照してください。さて、データ保護原則その1を掘り下げてみましょう。
正当で、規則に準じた、明確なデータ処理
GDPR の新しい規則の基礎をなす第1のデータ保護原則は、「正当で、規則に準じた、明確(トランスペアレント)なデータ処理」の要件です。これは何を意味するのでしょうか?
この規則の下で、GDPR は、データ管理者がデータ主体(すなわちユーザー)に個人データ処理に関する詳細な情報を提供できる体制を整えることを義務づけています。
GDPR コンプライアントであるためには、個人データを、簡単にアクセス可能な方法で、明瞭、簡潔、明確な言語で提示する必要があります。言い換えるなら、100ページにも達するようなユーザー規約でけむに巻くようなことは認められません。
明確(トランスペアレント)であるという要件を満たすためには、データ管理者は、データが収集される前、およびデータ収集プロセスの変更が行われるたびにデータ主体に通知しなければならず、データ主体はデータ処理に同意する必要があります。
同意の形式自体には規定はありませんが、同意はデータ主体の自由意志によって与えられなければならず、同意を示すために何らかの意図的な行為(チェックボックスをクリックするといった)をする必要があります。つまり、GDPR の下では、黙示的な同意は認められません。
この規則は、収集され、処理に使用されるデータは、「適切かつ関連性があり、処理される目的に必要なものに限定されていなければならない。」と規定しています。また、そのデータが保存される期間は、「厳密に最短」であることも求められます。
MOVEit で GDPR コンプライアンス徹底を支援
上述のように、EU 在籍者の個人データを収集、保管、処理または送信する場合は、組織の所在地にかかわりなく、GDPR が適用されます。そのため、個人データの送信に関わるシステム、ユーザー認証、および暗号化技術が安全で GDPR に準拠していることをしっかり確認する必要があります。
原則1の大きなポイントは明確な同意の必要性ですが、MOVEit のような信頼できるマネージド・ファイル・トランスファー・ソリューションは、企業の GDPR コンプライアンス徹底を様々な方法で支援します。たとえば、ユーザーがデータ処理記録のコピーを要求した場合、GDPR の下ではその要求に従う義務がありますが、MOVEit に組み込まれているデータの否認防止機能により、特定のファイルを誰がアップロードしたか、誰がダウンロードしたかがわかり、ファイルをアクセスするユーザーを認証することも可能です。アップロードされたファイルとダウンロードされたファイルが同一であることを証明することもでき、ファイルへのアクセスの信頼性の高いログを提供します。
セキュアなマネージド・ファイル・トランスファーである MOVEit は、転送中と保存中のデータの暗号化、データの整合性チェック、既存のセキュリティシステムとの統合、ファイル転送アクティビティの詳細なログ提供なども行います。
今後、その他の原則についても掘り下げますが、以下のホワイトペーパーもご参照ください。
また、以下はGDPRの7つの原則の短い紹介ビデオ(日本語、音声なし)です。