サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

押さえておきたい「GDPR(EU一般データ保護規則)」企業に求められる対策とは?

  • LINEで送る


2018年5月25日、GDPR(EU一般データ保護規則)が施行されました。国内では、何となく「そんなに大したことじゃなかったんだなー」の雰囲気が流れているようです。正しく認識している方が少ないようなので、GDPRの内容とそれに関する国内の現状を押さえておきましょう。

GDPRの概要

とは言っても、GDPR自体をご存じない方もいらっしゃるでしょう。まずは、GDPRの概要を。簡潔に言うとこういうことです。

「個人データを守るため、EUと同等の対策が取られていると認められる国以外には、原則個人データを渡しちゃダメ。」

至極当然の話です。

ただ、守らなかった時の罰金が凄い。最大で2000万ユーロまたは全世界の売り上げの4%のうちいずれか高い方が上限。罰金・実刑がかかると、突然日本企業は対応を検討しますね。努力義務だとほとんど動かないんですけども。

そして、問題は、日本は“同等の対策が採られていると認められる(十分性認定)国”じゃなかったことなんですね。

十分性認定
ヨーロッパ連合(EU)加盟国から第三国に個人データを持ち出す場合、越境先の国・地域で個人データの十分な保護措置が確保されているかどうかを、ヨーロッパ委員会が審査し、認定すること。
引用十分性認定/コトバンク

個人情報保護法改正のドタバタ

2016年4月、EUで採択され、2018年5月に施行が決まったGDPR。日本は焦りました。あと2年で十分性認定を受けないと、EU内の個人データを貰えない。企業も困るし、東京オリンピックにも人を呼べなくなる。大慌てで2017年5月、個人情報保護法を改正しました。

ところがですね。
個人情報保護法というと、財界にはアレルギー反応があります。個人情報保護法施行時のドタバタ。営業活動の制限。漏洩時の大損害。出来るだけ自分達に影響の出ないように働きかけを行いました。GDPRの十分性認定を貰えるようにするのが重要なのに、そんなこと全く関係なく。

特に「匿名加工情報」の定義では、専門家が口を揃えて、「そんな定義じゃGDPRの十分性認定通らない」と何度も何度も何度も言い続けたのに、アバウトな定義にしてしまいました。

現在のガイドラインでは「匿名加工情報として取り扱う意思を持って作成したら匿名加工情報」という、「なんだ、そりゃ」な定義なのです。

日本はまだ十分性認定を受けていない

ということで、案の定、改正個人情報保護法では不完全でした。現在、日本は十分性認定を受けられていないのです。こうなると、本来、各企業は個別にGDPRに対応しなければならなりません。しかし、それでは困ります。

そして、現在は裏技的な状況になっています。
「7月初旬までに出す新しいガイドラインの内容であれば、大丈夫そうだ。そうすれば秋には十分性認定はできるだろう」という前提の共同宣言が、つい先日、5月31日に出されたのでした。

学生時代、卒論の内容が不出来すぎて、教授から受け入れられないと言われた学生が、「就職決まってるんです、追加レポート出しますから許してください。」と懇願して渋々認められたのを彷彿とします。(友達の話です。友達の。)

新しいガイドラインの内容を押さえておこう

新ガイドラインで要求される予定の事項は大きく分けて5つです。EUから移転された個人データを下記ルールで取り扱わないと、罰則適用の可能性があります。

  1. 要配慮個人情報
    性生活、性的指向(「嗜好」ではありません。LGBT等の話です)、労働組合活動に関係する情報も要配慮情報として扱う。
  2. 保有個人データの範囲
    国内法では開示請求権が認められない個人データもEUのものは保有個人データとして扱う。
  3. 利用目的の特定
    取得時に特定された利用目的以外の使用を禁じる。
  4. 外国への個人データ移転
    外国への個人データ移転は、本人同意のみならず、同意判断に必要な情報も提供する。
  5. 匿名加工情報
    匿名化された個人の再識別を“何人にとっても不可能”にした場合に限り匿名加工情報と認める。

以上、5点が追加のルールです。よく読めば当たり前のような気がしますよね。改正個人情報保護法は、これが定義されていなかったんです。EUの個人データと言わず、国内の個人データも同様に扱う方が無難です。特に1の要配慮個人情報等は、履歴書フォームに「性別」を入れている企業も、まだまだ多いのではないでしょうか。

最後に

GDPRの後は、「cookie法」も控えています。情報が瞬時に国境を超える時代、国内法だけを見ていたのでは、足元を救われることもあり得ます。マスコミが大騒ぎしなくても、海外情報をしっかりと仕入れておきましょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。