デジタルデータで個人情報を管理する時代が到来してから、“個人情報流出”に関するニュースを目にしない日はありません。サイバーセキュリティー情報メディアでは、ほとんど毎日のようにセキュリティインシデントに関する何かしらの新着ニュースが掲載されています。皆さんの周囲でも、サイバー攻撃に巻き込まれたり、ちょっとした操作ミスをしてしまったり、個人情報流出が多く発生しているのではないかと思います。
個人情報流出の深刻化を受けて、日本では2017年7月30日に改正個人情報保護法が施行され、指紋データなど身体的特徴を使用した個人識別符号も個人情報の1つだと定義され、5,000人分以下の個人情報を取り扱う事業者にも法令が適用されるようになっています。
そして2018年5月25日、欧州では“GDPR(General Data Protection Regulation)”という法令が施行され、世界のビジネスに大きな影響を与えています。日本でいうところの個人情報保護法であり、しかしその要件は日本のそれ以上の厳しく、欧州で施行された法令とはいえ一部の日本企業も適用対象になります。
世界を舞台にしたビジネスが当たり前になった今、日本企業の多くはこのGDPRへ準拠する必要があります。本稿では、ストレージ技術者が知っておきたいGDPRについて分かりやすく解説していきます。
GDPRとは?
GDPRは日本語で“EU一般データ保護規則”と呼ばれ、欧州連合にて個人情報保護を目的に2012年に立案、2016年4月に採択され、2018年5月25日に施行されています。この法令は、欧州経済領域(下記、加盟国一覧)で取得した氏名・メールアドレスなどの個人情報の、域外移転が原則禁止されるものです。
欧州経済領域(EEA)加盟国
オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、イギリス(イングランド,スコットランド,ウェールズ,北アイルランド)リヒテンシュタイン、アイスランド、ノルウェー
GDPRの特徴
GDPRの特徴の1つが、従来は個人情報とみなされていなかった“IPアドレス”と“Cookie情報”といった、インターネット上で個人を特定するための情報が個人情報として定義されたことです。こうした個人識別符号が個人情報と定義されたのは世界で初めてであり、日本の個人情報保護法においてはIPアドレスやCookie情報は個人情報だと考えられていません。
近年では、IPアドレスやCookie情報が第三者に不正利用されることで、ユーザーが利用しているサービスに不正アクセスされたり、クレジットカード情報が搾取されたりと、インターネット上での個人情報流出事件が後を絶えません。
GDPRがそれらの情報を個人情報だと定義したのは時代の流れであり、今後は日本においても同様に、IPアドレスやCookie情報等を個人情報と定義する流れをくむことになるでしょう。
[RELATED_POSTS]
GDPRの適用対象になる日本企業
GDPRでは、欧州経済領域内にあるすべての営利組織・非営利組織が対象だと明示しています。企業の大小や国籍は問いません。グローバル化が進む現代ビジネスにおいて、欧州経済領域内でビジネスを行っている非加盟国も対象となります。では具体的に、どういった日本企業がGDPRの適用対象になるのでしょうか?
欧州経済領域内に子会社を持つ企業
GDPRでは欧州経済領域市民に加えて、同領域内に一時滞在している人の個人情報も規制対象になります。日本企業においては、欧州経済領域内に子会社や関連会社、事業所などを持っている場合は直接的なGDPR適用対象になります。本社機能が日本にあるとしてもです。
人事管理システムやERP(Enterprise Resource Planning)によって、従業員の個人情報管理が「欧州経済領域内からの個人情報移転」に該当するため、注意が必要です。
欧州経済領域内に商品やサービスを提供する企業
日本から欧州経済領域内の個人・法人に向けて商品やサービスを提供している企業では、現地に子会社や事業所が存在していなくてもGDPR適用対象になります。有料か無料かを問わず、アカウント作成によって発生する欧州経済領域内の個人情報取得が、「個人情報の移転」に該当するため企業側ではGDPRに準拠した手続きが必要です。
欧州経済領域内に向けてEC事業を展開している企業、航空券や宿泊プランなどを提供する旅行代理店、欧州経済領域内の個人情報を処理するデータセンター事業者、クラウドサービスを提供する今日するソフトウェアベンダーも適用対象になります。
欧州経済領域市民の個人情報について、その処理の委託を受けている企業も適用対象になるため、GDPRが広範囲にわたって適用される法令であることが分かります。
個人情報流出時の罰則について
GDPRでは個人情報の移転にあたり、本人の明示的な同意を得る、標準契約条項の締結などが必要になります。もしも個人情報流出が発生した際は、72時間以内に規制当局への届け出を行い、該当個人への速やかな通知などが義務責任として課せられます。
これらに違反した場合は、全世界売上高の4%もしくは2,000万ユーロ(約26億円)の、いずれか高い方を制裁金として当該企業に課すという非常に重い罰則が規定されています。
GDPRへの対応策とは?
欧州経済領域内の個人情報(IPアドレスやCookie情報を含む)取り扱っている場合、GDPRへの対応策としては最初に“データマッピング”を行います。どこにどのような個人情報が保管されているのか?どこからどこに個人情報が移転しているのか?だれがどこから個人情報を閲覧できるのか?を明確にすることで、管理すべき個人情報を特定していきます。
次に、GDPRではプライバシーポリシーを明示し、個人情報に対する沿息の姿勢を明確にした上で、情報の取り扱いの同意や撤回の方法に関して明確な仕組みを構築する必要があります。
個人情報流出などの問題が発生した際の、規制当局への届け出や当該個人への速やかな通知という義務責任を果たすために、これらを素早く実行するための体制及びプロセスを整備しておきましょう。そして最後に、セキュリティ体制の強化を図り、そもそも個人情報流出が起こらないための対策を取るのです。
GDPRが施行されたことにより、個人情報を取り扱う企業が取るべき行動が変わってきています。これを受けて、多くの国や地域でもインターネット上の個人識別符号を個人情報だと定義する動きが活発化していくでしょう。GDPRの適用対象となる日本企業は、GDPRの規制内容について明確に理解した上で、適切な対応策が取れるよう注意しましょう。
NetAppストレージのデータ保護
個人情報などはデータベースやストレージに格納されていることが一般的です。ネットアップでは、データのプライバシーを確保するように設計されています。 オンプレミスかクラウドかを問わず、企業内に保持されたデータを不正アクセス、漏洩、改ざんから保護します。 柔軟性に優れた暗号化ソリューションとキー管理ソリューションで、オンプレミス、クラウド内、転送中の機密データを保護できます。
具体的には、ハードウェアとソフトウェアベースのAES-256暗号化ソリューションで保管データを保護する機能を有していたり、Transport Layer Security(TLS)を使用して、バックアップ データやディザスタ リカバリ データの転送中も暗号化を維持します。さらに オンボードと外部のキー管理暗号化ソリューションで、FIPS 140-2への準拠を実現したり、NFSv4 krb5pとSMBv3の暗号化機能で、ネットワークを介して転送されるデータを暗号化したりと重要なデータを保護する様々な機能を提供しています。
