ブログ記事
GDPRとは?対象企業と7つの原則
EU一般データ保護規則(GDPR)は、欧州連合(EU)が市民の個人情報の収集と処理に関するガイドラインを策定する目的で制定されました。GDPRで言及されているデータの大半は、ウェブサイトやアプリケーションを通じてオンライン上で収集されるものを指しますが、紙や他の媒体で収集されたデータについても対象になります。
GDPRの要件は、EU加盟国の内外を問わず、EU市民全員に適用されます。また、ウェブサイトや企業の所在地に関係なく、EU市民の個人データに触れるすべての組織にも適用されます。GDPRの要件によると、企業は、従業員、顧客、サード パーティのベンダーを含め、関わりを持つEU市民の個人を特定できる情報(PII)のデータとプライバシーに対する保護対策を採用することが義務付けられています。
GDPRは2016年にEU加盟国によって承認され、その2年後に全面施行されました。これは、1995年に制定されたデータ保護指令に代わるものになります。GDPRの下で推進されたのは、企業による個人データの利用方法を規制することで、EUの消費者が自身の個人データを管理できるようにすることでした。
個人識別情報(PII)とは
個人識別情報とは、氏名、生年月日、職業、住所、マイナンバー等、特定の個人を特定できるあらゆるデータを指します。
組織とのやり取りでは、個人データの交換を伴うものが大部分を占めますが、大抵の場合、以下のような個々の情報だけでは、個人を特定することはできません。
しかし、上記で紹介した個人データを集約すると特定の個人を特定できることから、個人識別情報PIIとなります。個人識別情報PIIの例には以下のようなデータもあります。
GDPRに準拠するため、企業はEU市民と関連がある従業員、顧客、外部ベンダーの個人識別情報のデータとプライバシーを保護する措置を講じる必要があります。
以下も併せてお読みください。
GDPR要件とは
1. 適法性、公正性、および透明性のある処理(GDPR第2章第5条(a))
「個人データとは」
第5条(a):「データ主体に関連して、法的に適正かつ公正に、透明な方法で処理されなければならない「適法性、公正性および透明性」)」
第5条(b):「特定された、明示的で、正当な目的のために収集され、その目的と適合しない方法で追加的な処理をしてはならない。公共の利益における保管の目的、科学的研究もしくは歴史的研究の目的または統計の目的のために行われる追加的処理は、第89条の(1)に従い、当初の目的と適合しないものとはみなされない(「目的の限定)」
上記で紹介したGDPRの要件を遵守するにあたり、企業は個人データを処理する法的な理由を文書化しておく必要があります。また、情報を収集するためのデータ主体からの同意を得るとともに、どのようにその情報が処理され利用されるかを彼らに通知する必要があります。
GDPRの要件に従って法に基づいた、公正で、透明な処理を行うということは、以下のことを意味します。
2. 目的の限定、データ、保管(GDPR第2章第5条(b)および(c))
「個人データとは:」
第5条(c):「その個人データが処理される目的との関係において、必要最小限に留められ、適切で関連性のあるものに限定されなければならない(「データの最小化」)」
GDPRの要件では、情報が収集および処理される理由を文書化するとともに、不要になった時点でその情報を確実に削除すること(データの最小化)を組織に義務付けています。公共の利益のため、科学的、歴史的、統計的目的を含むアーカイブ目的での情報処理には、一定の裁量の余地があります。
GDPRの要件に効果的に対応するにあたり、組織は以下を行う必要があります。
3. データ主体の権利(GDPR第3章第12条~23条)
データ主体には11の権利が与えられており、GDPRの要件では以下の5つの節に分けて詳しく説明されています。
4. 同意(GDPR第2章第6条)
「処理は、以下のいずれかが該当する場合に限り、適法であるとされます」
GDPRの要件によると、データ主体の同意は、情報処理に関する6つの法的前提条件の1つに過ぎません。同意を得るには、処理者は個人から能動的な承認を得る必要があります。つまり、処理者が受動的なアプローチを用いて同意を得るのではなく、データ主体が積極的に同意を与える行動を取る必要があります。
また、同意は文書化されなければならず、データ主体はいつでも同意を撤回する権利を持っている必要があります。16歳未満の子供のデータを処理する場合、親権者または保護者の同意が義務付けられています。
5. 情報漏洩の通知(GDPR第4章第33条)
「個人情報漏洩が発生した場合、管理者は、その個人情報漏洩が自然人の権利および自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつそれが実施可能なときは、その漏洩に気づいたときから遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人情報漏洩を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。」
第2章第4条において、情報漏洩を「偶発的または不法に転送され、保存された、またはその他の方法で処理された個人データの破壊、喪失、改変、無許可の開示またはアクセスをもたらすセキュリティの違反」と定義されています。
ここで特筆すべき点は、GDPRで情報漏洩に該当するものは、サイバー犯罪だけではないということです。情報漏洩とは、組織外の人物とファイルを共有すること、従業員が誤った人物に機密情報を含むメールを送信すること、または無許可でファイルにアクセスすることなど、単純なことで発生する可能性があります。
6. 設計段階およびデフォルトによるデータ保護(第4章第25条)
「処理の段階で、データ保護の原則、例えばデータの最小化を効果的に実施し、必要な保護措置を組み込むために設計された、仮名化のような、適切な技術的措置および組織的措置を実装する。」
設計段階のデータ保護のGDPR要件に対応する際、組織はデータ処理を開始する時点でデータ プライバシーを考慮する必要があります。
7. データ保護影響評価(第4章第35条)
「特に新技術を使用した処理の種類が、処理の性質、範囲、文脈、および目的を考慮した場合、自然人の権利と自由に高いリスクをもたらす可能性があるとき、管理者は処理を行う前に、検討されている処理操作が個人データの保護に与える影響の評価を行わなければならない。」
GDPRの要件によると、以下のような場合には、データ保護影響評価を実施することが義務付けられています。
8. データの移転(GDPR第5章第44条)
「既に処理されているまたは移転後に処理を予定している個人データの第三国または国際機関への移転は、その第三国または国際機関から別の第三国または国際機関への個人データの移転に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者および処理者によって遵守される場合においてのみ行われる。データ移転に関する規則は、データの移転先および移転元によって異なる。」
その他データ移転に関するGDPRの要件については、第5章の第45条、第46条、第47条、第48条に詳述されています。これらの条項では、具体的な移転(EU域外の国への移転を含む)の種類と義務付けているデータ保護について説明しています。
9. データ保護責任者(DPO)(第4章第37条、第38条、第39条)
第37条では、「管理者および処理者は、以下の場合において、データ保護責任者を指名しなければならない:
DPOに関するGDPR要件は第38条で説明されています。第38条の重要ポイントは、「データ主体は、その個人データの処理および本規則に基づくその権利の行使に関連する全ての問題に関し、データ保護責任者と連絡をとることができる」という点です。
DPOの職務は第39条に列挙されており、以下のようなものがあります。
10. 認知向上および訓練(第4章第39条)
「処理業務に関与する職員の責任の割り当て、認知向上および訓練、ならびに関連する監査を含め、本規則の遵守、それ以外のEUまたは加盟国の個人データ保護条項遵守、ならびに個人データ保護と関連する管理者または処理者の保護方針の遵守を監視すること」
GDPRの要件を遵守するために、組織は組織内のさまざまな役割に応じて研修を設計する必要があります。GDPRに関連して実施するデータ保護研修は、EU市民の機密情報を取り扱う従業員全員に義務付けられています。
GDPRの要件を遵守すべき企業は?
GDPRの要件は、ウェブサイトや居住者の所在地に関係なく、EU市民に関する個人情報を保管または処理するEU全加盟国および欧州経済領域(EEA)のすべてのメンバーに適用されます。そのため、GDPRの要件はEU市民がターゲット市場でなくても、欧州に訪問者を持つあらゆるデジタル プロパティに適用されます。また、EU市民が適用対象外の地域に訪問または居住している場合であっても、GDPRの要件に従うことが義務付けられています。
組織がGDPRの要件を遵守する際の判定基準は以下のとおりで、これは多くの企業に適用されます。
GDPRの7原則におけるGDPR要件
GDPRの第2章第5条では、個人データの処理に関する7つの原則について詳述されています。
1. 適法性、公正性、および透明性:適法性とは、個人データの処理に正当な理由があることを根拠にします。ユーザーが自分のデータがなぜ処理されるのかを理解でき、データが不正に扱われたり悪用されたりしないことを意味します。組織が自分たちが誰で、データをどのように扱っているのかについて、明確でオープンで正直であるよう指示します。
2. 目的の限定:GDPRでは、データの利用方法に関する制限を定めており、「特定され、明確であり、かつ正当な目的のために収集されるものとし」と記載されています。
3. データの最小化:データの最小化に関するGDPRの要件では、目的を達成する上で必要最低限の情報のみを収集することを組織に指示しています。
4. 正確性:GDPRの要件を遵守するために、組織は収集および保管する個人データの正確性に対して責任を負うことが義務付けられています。これには、データの完全性を保証および維持するために必要なチェック アンド バランス(抑制と均衡)を行うことが含まれます。
5. 記録保存の制限:GDPRでは、データの保存期間についても定められています。組織はデータの保存が必要な理由と保持期間の根拠を説明することが義務付けられています。
6. 完全性および機密性:データ保護に対する責任は組織が負います。未認証のアクセス、不正処理、偶発的な損害、損失、破壊から個人データを保護できるセキュリティ システムを設置することが義務付けられています。
7. 説明責任:GDPRの要件および処理に関する原則に準拠していることを証明することが義務付けられています。組織は準拠の証明を随時求められることがあります。
個人の権利に関するGDPR要件
GDPRの第3章では、個人が有する8つの権利が定められています。
1. 情報の権利:情報の収集方法、保存期間、共有先に関して組織から説明を受けることができる権利。
2. アクセスの権利:収集される情報、保存方法および処理方法、利用方法に関して組織から説明を受けることができる権利。
3. 訂正の権利:不完全または不正確な情報の訂正を求めることができる権利。
4. 消去の権利:個人データを含む記録の永久消去を求めることができる権利。
5. 処理制限の権利:個人データが消去できない場合に、その処理を制限できる権利。
6. データ ポータビリティの権利:個人データの取得と再利用ができる権利、および組織にこの情報を第三者に送信するよう依頼できる権利。
7. 異議を唱える権利:個人データの処理に対して異議をと唱えることができる権利。ただし、組織は状況次第で異議を覆すことができる。
8. 自動化された意思決定を回避する権利:意アルゴリズムを使用して決定を下すことを拒否し、自動意思決定からオプトアウトする権利。
企業の信用を高めるGDPR要件への対応
GDPRに違反すると、高額で厳しい罰則(2,000万ユーロまたは企業全体の年間売上高の4%)が科されます。GDPRの要件を満たすために考慮すべきいくつかのベスト プラクティスを以下で紹介します。
モバイルアプリがGDPRの要件に準拠しているかを評価する。多くのチーム メンバーが個人識別情報のアクセスと保存にモバイル端末を使っているため、こうしたアプリケーションや端末がGDPRの要件を満たしていることを確認することが重要です。
リスク管理戦略の評価を定期的に実施する。組織やオペレーションは変化し続けるため、EU市民のデータの取り扱いにおけるリスクを正確に把握することが重要です。リスク管理戦略を評価する一環で、軽減対策や修正対策を検討する必要もあります。個人識別情報を収集・保管しているシャドーITのインスタンスには特に注意が必要です。
GDPRの要件に準拠するには、誰がどのデータに対するアクセス権限を持つのか、また規制の対象となるデータがどこに存在するのかを包括的に確認する必要があります。
GDPRの要件に対応するデータ保護計画を策定して維持する。データ保護計画を策定していない場合は、最優先で策定する必要があります。既にデータ保護計画を策定している組織の場合は、計画をレビューしてGDPRの要件との整合性を確認します。データ保護計画の確認を定期的に行い、GDPRの要件の変更や更新に対応する必要もあります。
経営陣に危機感を持たせる。GDPR要件に対するコンプライアンスの優先順位付けを経営陣から始めてもらうことで、それが最優先事項であることが組織全体で徹底されます。
DPOが空席の場合は、採用または任命する。GDPRの要件では、守秘義務を守り適切な判断を下す立場であるDPOの必要性は明確に言及されていませんが、組織はこの職務の遂行に専念できる人物を配置すべきです。また、GDPRではDPOが複数の組織を兼務することが認められているため、顧問を非常勤で雇うこともできます。
関係者全員を巻き込む。一般的に、GDPRの要件はIT部門の問題と考えられていますが、実際にはそうではありません。IT部門だけではGDPRの要件を満たすための準備はできません。マーケティング、財務、営業、オペレーションなど、組織にあるほとんどのグループが顧客の個人識別情報を収集、分析、利用しています。
GDPRの要件を満たすためのシステムと処理を監視する。組織がGDPRの要件への準拠を維持するには、継続的な監視が必要です。
データ関連のインシデント対応計画をテストする。GDPRには数多くの要件がありますが、その中に「組織は情報漏洩の発覚から72時間以内に報告しなければならない」というものがあります。GDPRの要件を満たし、損害を軽減するには、考え抜かれたインシデント対応計画のテストと予行演習が大きな役割を果たします。
確かに、上記で紹介した内容を行うのには時間がかかりますが、GDPRの対象となる組織は、コンプライアンスの確保に必要なシステムと処理に投資する必要があります。投資した先に得られるメリットは、コンプライアンスの確保以上のものがあります。GDPRにある多くの要件は、セキュリティが強化されるとともに、消費者の信頼感を高めることでブランドの印象もアップする波及効果も持ち合わせています。
FAQ
よくある質問
GDPRとは何ですか?
GDPRとは、欧州経済領域内での個人情報の管理に関する法的要件を規定する規則です。これは個人情報とプライバシーの保護を強化することを目的としています。
GDPRは日本も対象になりますか?
GDPRの適用範囲は、企業の所在地や国籍ではなく、EU内での個人データの処理やその関与に基づいて決まります。そのため、EU内の個人データを扱う日本企業も、GDPRの要件を遵守する義務があります。
GDPRと個人情報保護法の違いは何ですか?
GDPRは欧州連合(EU)において施行されている規則で、EU市民の個人データを扱う全世界の企業や組織に適用されるものです。これに対し、日本の個人情報保護法は、日本国内での個人情報の取り扱いに関する規則を設けており、対象は日本国内の企業や組織となっています。
関連コンテンツ
GDPRについてもっと詳しく知る
GDPR準拠の課題とその対応方法
GDPRに準拠するためには、取り扱うすべての機密情報を把握し、ビジネスプロセス、テクノロジーを含む包括的なアプローチが不可欠です。これは日本企業も例外ではありません。
データ ガバナンスとは?
多くの企業が非構造化データに対する侵害を経験し、管理方法に様々な課題を抱えています。本調査では、データ管理とガバナンスに関する取り組みについての調査アンケート結果から、改善の可能性について明らかにします。
クラウドプラットフォームを適切に制御します
SailPoint IDセキュリティの詳細をご覧ください。