GDPR とは?
EU 一般データ保護規則 (GDPR) はデータ保護に関する規定であり、2018 年に施行されました。これにより、全 EU 市民の個人情報を保護する一連の指針と規制当局が作られたのです。GDPR は、EU 域内に拠点を構える組織だけではなく、EU 居住者および欧州経済領域 (EEA) 自由貿易地域内に居住する人のデータを管理するあらゆる組織に適用されます。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
GDPR 概要
GDPRは、データを取り扱い、処理し、保護するいくつかの対象を定義しています。GDPRの意味を理解することで、GDPRとそのポリシーの理解を深められます。
GDPR はデータ当事者の主な分類として「データ主体」「管理者」「プロセッサー」の 3 つを定めています(第 28 条の A)。
「データ主体」とは、データを収集される人物をいいます。「管理者」とは、データ主体の個人情報を処理する目的および方法を決定する組織をいいます。「プロセッサー」とは、管理者の代理として個人情報を処理する組織をいいます。
GDPR では、管理者とプロセッサーが米国をはじめ世界中のどこに拠点を構えているかは問題ではありません。これは従来の EU 規則から大きく変わった点です。
もう一つの重要なGDPRの側面は、個人データとみなされるものについての理解です。すべてのデータがGDPRによって保護されているわけではなく、個人を特定するために使用できるデータのみが保護対象となります。例えば、年齢だけでは誰かを特定することはできないためGDPRの対象外ですが、年齢と名前のデータは個人を特定できるためGDPRの対象となります。
GDPRコンプライアンスに従わなかった場合の罰金は、以前よりもはるかに高額になっています。例えば、データ保護監督機関は、企業の年間売上高の4%または2,000万ユーロのいずれか高い方の罰金や制裁金を課す可能性があります。
GDPRの基本原則
GDPRの主な推進力は、EUの単一デジタル市場構築という目標です。以下の原則がGDPR要件を推進しています。
透明性
データ主体は誰もが個人情報の処理とその目的について通知を受ける権利を有します。また、明確な同意を与える必要があります。(第 7 条、10 条、11 条、および 12 条)。ほとんどのビジネスが、GDPR によって大きな転換を迫られます。データ処理の考え方をオプトアウトからオプトインに変える必要があります。
同意が与えられた場合でも、データ主体は以前のオプトイン許可を撤回し、将来的にオプトアウトすることができます。同意契約に加えて、組織は同意が与えられたことを証明する証拠を保持しなければなりません。
比例性
GDPR では、あらゆる個人情報処理のレベルが、その収集の目的と比例している必要があります。つまり、収集するデータはできる限り少なく、顧客に対応するために必要な最低限の期間以上は保持しないということです。
保持するデータは正確かつ最新のものでなければなりません。また機密性と完全性を保護しなければなりません。GDPRポリシーでは、組織はデフォルトでインフラストラクチャの設計にデータ保護を組み込み、消費者情報を保護するための積極的なアプローチを確立することが求められています。
正当な目的
組織はデータを収集するための正当な目的を持つ必要があります。ビジネスを実行するために必要な個人データの量を最小限に抑える努力をすべきです。例えば、ゲーム アプリケーションは医療情報を必要としないため、ビジネス目的のないデータを不必要に要求すべきではありません。
GDPR では、個人情報の処理が認められる特定の条件を定義しています (第 6 条)。個人情報の処理が認められるのは、以下において必要とされる場合です。
- データ主体が要求した製品やサービスを提供するため
- 法律的義務を遵守するため(例:裁判所からのデータ要求命令を受けた場合)
- データ主体、または他者の重要な利益を保護するため
- 公共の利益を目的として、または与えられた職務権限の下で業務を行うため
- その他正当な利益を追及するため (データ主体、特に子供の利益または基本権および自由と衝突する場合を除く)
- データ主体の命を救うため
Isolation
Proofpoint Isolationを使えば、ユーザーはインターネットを安全に使用でき、同時に、悪意あるコンテンツによる会社支給デバイスへの被害を防ぐことができます。
GDPRプライバシーポリシー要件
GDPR の中心では、以下のようなデータプライバシー要件と執行力が強化されています。
- 消去される権利 (当初「忘れられる権利」と呼ばれていました)。データを保持する正当な理由がなく、データ主体が自分のデータの一部または全部を消去したい場合、それに従わなければなりません。(第 17 条)。クラウドとメールサービスのプロバイダーには、この規則の遵守が困難な場合があります。プロバイダーは多くの場合データをアベイラビリティゾーン、バックアップ、アーカイブに分割するためです。
- 個人情報は単に「自然人」を特定するデータだけに限られません。GDPR ではメタデータも対象です。これには IP アドレス、SIM カードの ID、携帯電話番号、生体データ、さらには保存された Web サイトの Cookie も含まれます。また、GDPR は遡及的であり、GDPR 施行前に収集されたデータにも適用されます。
- データポータビリティ (第 20 条)。自分のデータをあるサービスから別のサービスに移行して、そのデータが変更されず、保護され、公開されない権利が認められています。
- 要求があれば、データが処理の対象となる場合、データの管理者はデータ主体に対して通知しなければなりません (第 15 条)。
- 保護データのガバナンスが強化されています。これには同意の条件、処理の記録、侵害の通知に関する強化された仕様が含まれます (第 7 条、30 条、33~34 条)。
- EU 市民の個人情報を処理または保存する場合は、データ保護責任者 (DPO) が必要です (第 35~37 条)。GDPR は DPO の役割および詳細について明示しています。さらに、データの管理者とデータのプロセッサーの拠点が EU 域外の場合、データ主体の住む EU 加盟国に窓口を設置する必要があります。
- データ侵害検知および通知の厳しい要件 (侵害に気づいてから遅くとも 72 時間以内) を満たす必要があります。
データ保護バイデザイン、バイデフォルト、および処理のセキュリティ
Three GDPR の主な 3 つの指令はデータ保護バイデザイン, データ保護バイデフォルト,および処理のセキュリティです。
データ保護バイデザインは、GDPR準拠するためにデータの管理者がとるべき手段と保護策を表しています。これには技術的および組織的な手段が含まれます。
同様に、データ保護バイデフォルトは、合意されたサービスを提供するために必要な個人情報だけしか収集、処理、保存してはならないことを表しています。(第 25 条および 32 条)。
処理のセキュリティは、適切な技術的および組織的手段を用いて、開示のリスクに見合ったセキュリティのレベルを保証することを規定しています。これらの指令に従わない場合、GDPR の厳しい罰則が科される可能性があります。
これら3つのGDPR原則は、組織のコントローラーに対して、データを保護し、そのデータに対する管理権を所有者に提供するための適切な技術的措置を実施することを要求しています。デフォルトでデータ保護を要求することにより、組織は第三者にデータを開示する前にデータ所有者から同意を得る必要があり、必要に応じて保護を実施します。
顧客データだけにあらず
三大要件である透明性、正当な目的、比例性が適用されるのは顧客データだけではありません。従業員データにも適用されます。
多くの組織が、マルウェアの阻止、知的財産流出の防止、他の従業員の権利の保護をはじめとする情報セキュリティの手段として、従業員によるインターネット使用データを収集して処理しています。ここではバランスが重要になります。組織のセキュリティ要件と、データ保護に対する従業員の権利を均衡させる必要があるのです。
データを知る
GDPR 規則では、収集、処理、保存しているデータの種類を理解していなければなりません。たとえば、特別な除外事項が適用されない限りにおいて、人種、民族的起源、政治的意見、宗教的または哲学的信念など個人を特定する個人情報については処理しないよう GDPR は明確に示しています (第 9 条)。
データ収集の正当な理由があることを証明できる唯一の方法は、データ自体を十分に理解することです。また、そのデータの必要性を理解する必要もあります。GDPRコンプライアンスでは、個人データを収集する正当な必要性があることが求められます。つまり、ビジネス目的(例えば、商品を販売し配送するため)に必要のないデータを不必要に要求することはできません。
GDPR コンプライアンス対策
GDPR は、拠点がどこにあるかにかかわらず、世界中数多くの組織に影響を及ぼします。また、新しい規則に従うことは簡単なことではありません。
GDPR に対応するための簡単なチェックリストを紹介します。
- データ保護指令と、コンプライアンスを維持するために保護しなければならないデータを理解します。これには顧客と従業員どちらのデータも含まれます。
- データ保護影響評価 (DPIA) を実施します (第 35 条)。DPIA では EU 市民の保護されているデータへのあらゆる接点を確認します。これはデータの処理や保存からは独立しています。DPIA の出力は詳細なリスクアセスメントである必要があります。
- 消去の権利、データポータビリティ、そして侵害検知および通知に対処します。これには企業の強力な技術的および組織的な制御、手続き、ガバナンスが求められます。
- 従業員数が 250 名を超える場合、たとえ米国に拠点を構えていたとしても、DPO を置くことが必要になる場合があります。
- メーリングリストやデータが収集されるすべてのチャネルを含め、データ収集プロセスのあらゆる側面を見直します。
- マーケティングを含む組織全体にコンプライアンスとGDPRの重要性を伝えます。
- ウェブサイトのページに同意フォームを追加し、該当する場合はクッキーがデータを収集し第三者にデータを送信する方法を説明するクッキー通知を含めます。
- 16歳未満のユーザーの検証プロセスを作成します。GDPRコンプライアンスでは、16歳未満の子供のデータを収集して使用するには親の同意が必要です。
- GDPRルールが特定のユーザーに適用されるかどうかを把握するために、居住国を確認します。GDPRでは、IPアドレスが個人を特定する場合、一部のケースで個人データとみなされることにも注意してください。
- 組織が侵害に気付いてから72時間以内にデータ侵害を規制当局に通知する準備をしておきます。
