ビジネスのデジタル化、グローバル化が進むにつれ、国と国の境界線は曖昧なものになりつつあります。たとえば越境ECと呼ばれるデジタルビジネスは、海外在住者向けにネットショッピングサイトを開設し、国内製造商品などを販売するものですが、事業展開にあたり諸外国での販売許可申請を行ったりする必要はありません。あくまで消費者が海外のネットショッピングサイトから商品を選定し、所定の住所まで配送するものととらえます。
こうしたデジタル化は“越境データ”の流通を促進させ、ビジネスに大きな利益をもたらすと共に、多くのリスクも生んでいます。デジタル上でやり取りされるIPアドレスやCookie情報などはもはや個人情報と言えるほどの価値を持っており、多くの国が越境データの取り扱いに対して神経質になっています。そして、様々な規制も生まれています。
本稿では、2018年5月25日より施行されたGDPR(General Data Protection Regulation:EU一般データ保護規則)を例に取りつつ、ストレージ管理者が知っておくべき越境データの規制について解説していきます。
日本の個人情報保護法について
日本には個人情報を保護するための法律として、個人情報保護法が制定されています。2005年4月に全面施行されており、以下のように個人情報を定義しています。
① 生存する個人に関する情報
当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの
② 個人識別符号
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
※e-Gov『個人情報の保護に関する法律』より抜粋
個人情報保護法はさらに2017年7月30日に改正個人情報保護法が施行し、指紋データなど身体的特徴を使用した個人識別符号も個人情報の1つだと定義されました。さらに、5,000人分以下の個人情報を取り扱う事業者にも法令が適用されるようになっています。たった1人でも個人情報を保有していれば、個人情報保護法への準拠が必要というわけです。
[RELATED_POSTS]
GDPRとは何か?
日本の個人情報保護法は広く個人情報を護るために施行された法律ですが、デジタル上でやり取りされるIPアドレスやCookie情報などの個人識別情報については、個人情報だと定義されていません。従って、会社が管理しているIPアドレスが万が一流出しても、それは個人情報漏えいに当たらないのです。
一方で、海外諸国は個人情報保護に関してより厳しい視点に立っており、中にはIPアドレスやCookie情報を個人情報だと定義し、保護対象にしている法律があります。それがGDPRです。
GDPRは欧州連合にて個人情報保護を目的に2012年に立案、2016年4月に採択され、2018年5月25日に施行されています。この法令は、欧州経済領域(下記、加盟国一覧)で取得した氏名・メールアドレスなどの個人情報の、域外移転が原則禁止されるという内容の規制です。
<欧州経済領域(EEA)加盟国一覧>
オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、イギリス(イングランド,スコットランド,ウェールズ,北アイルランド)リヒテンシュタイン、アイスランド、ノルウェー
GDPRの特徴は前述のように、従来は個人情報とみなされなかったIPアドレスとCookie情報といった、デジタル上で個人を特定するための情報が個人情報として定義されたことです。近年はサイバー攻撃によってIPアドレスやCookie情報が第三者に不正使用され、サービスへの不正ログインやクレジットカード情報の搾取など、実害が多発しています。
それに伴い、GDPRではデジタル上の個人情報を保護するために、EU域外への個人情報移転が禁止されています。
関連記事:ストレージ技術者が知っておきたいGDPR(EU一般データ保護規則)
越境データとストレージの関係とは?
GDPRの適用対象になる企業は、EEA内に子会社を持つ企業、EEA内に商品やサービスを提供する企業、それとEEA域内市民の個人情報処理について委託を受けている企業の3つです。
たとえばEEA域内に向けてEC事業を展開している企業、航空券や宿泊プランなどを提供する旅行代理店、欧州経済領域内の個人情報を処理するデータセンター事業者、クラウドサービスを提供する今日するソフトウェアベンダーも適用対象になります。
これらの企業はGDPRの規則に従い、個人情報の移転に際し、本人の明示的な同意を得る、標準契約条項の締結などが必要になります。万が一個人情報が流出した場合は、72時間以内に規制当局への届出を行い、該当個人への速やかな通知と義務責任が課せられます。
違反した場合は、全世界売上高の4%もしくは2,000万ユーロ(約26億円)の、いずれか高い方を制裁金として当該企業に課すという、非常に思い罰則が規定されています。
越境ECビジネスを展開している企業や、EEA域内に子会社を持つ企業、あるいはEEA域内市民の個人情報処理について委託を受けている企業は必ずストレージ内にEEA域内市民の個人情報(IPアドレスとCookie情報を含む)を管理しています。従って、GDPR準拠のためにストレージ内に保管されているそれらの個人情報を把握することから始め、適切な対応を取る必要があるのです。
ストレージ管理者にとって越境データは決して他人事ではなく、企業が大きな損失を受けずにビジネスをスムーズに実行するために、ストレージ管理者が主体となってGDPR殉教に取り組む必要があります。
越境データ保護規制の動きが活発に
今後、海外諸国のいたるところでGDPRのように越境データ保護規制が施行されることが予測されています。ビジネスのデジタル化が進んでいるからこそ得られる利益あれば、そこから生まれるリスクもあります。この機会に、ストレージ管理者として適切な越境データ保護を心掛けていきましょう。
