tuv-jp-blog-banner

2019年、GDPR対応がますます重要になる

Posted by TUV Rheinland Japan on 2019/01/30 9:49:30
TUV Rheinland Japan

 20185月、ヨーロッパ版の個人情報保護法であるGDPR (EU一般データ保護規則)の適用がスタートしました。GDPRは、企業に求められる対策が詳細かつ多岐に渡ることもさることながら、データ漏洩が起きた場合の罰則規定が非常に厳しいことから、企業に大きな動揺を与えました。

 テュフ ラインランド ジャパンは、日本国内でもGDPR対策の必要性が高まったことを受け、企業のGDPR対応を支援するコンサルティングサービスを提供し、多くのお問い合わせをいただいています。本稿ではテュフ ラインランド ジャパンのGDPR対応サービスが、どのようなアプローチを取って、どのような成果物を提供するのかを簡単に紹介します。

 

おさらい:GDPRとは

GDPRGeneral Data Privacy Regulation(欧州一般データ保護規則)の頭文字です。この規則が定められた目的は、大きく分けて2つ挙げられます。

 GDPR 1

 

 まず第一は、ヨーロッパ市民および居住者が、自分の個人情報をコントロールする権利を取り戻すことです。自分のデータが知らないところで勝手にやりとりされ、プライバシーが侵害されないように、ユーザーは企業などが保持する自分の情報にアクセス、訂正、削除などを求めることができます。また企業などがデータを収集する際、何の目的のため、どのようなデータを収集するのか明確にすることも求められます。

 第二に、欧州連合域内の規則を統合することで、欧州との国際ビジネスに必要な規則を一本化することです。1995年に採択された、EUデータ保護指令では、EU加盟国およびEEA加盟国に対し、個人情報保護のための国内法規を立法するように要求していましたが、それぞれの国ごとに要求事項やレベルが異なっていたため、これらをシンプルに一元化することが求められていたという背景があります。そのため指令から規則に格上げされることになりました。

 GDPREUデータ保護指令よりも、より企業に与えるインパクトが大きいのは、その罰則金額が莫大であることに起因します。罰金額は最大で全世界の年間売上の4%もしくは、2,000万ユーロ(およそ26億円)にも上ります。実際、20191月にフランスの政府機関CNILは米IT大手にGDPR違反として50ミリオン・ユーロ(およそ63億円)の莫大な罰金を課すと発表しました。


テュフラインランドジャパンのGDPR対応支援サービス

 それではGDPRに対応するために、企業は何を求められるのでしょうか。テュフ ラインランド ジャパンでは3つのステップを通じて、個人情報管理の現状を明らかにし、組織として取るべきアクションを具体的にアドバイスすることで、組織のGDPR対応を支援しています。

 GCPR 2-1

 

① ドキュメントレビューと関係者へのインタビュー

 まず第一のステップは既存ドキュメントのレビューと、関係者へのインタビューを通じて、個人情報が組織の中でどのように扱われているかを分析することからスタートします。具体的には

  • 個人情報の収集経路(メール、Webサイト、キャンペーン、展示会)
  • 収集している個人情報の種類(氏名、年齢、メールアドレス、IPアドレス、Cookieなど)
  • 個人情報を扱っている部署、担当者の洗い出し

等を明確にし、個人情報取扱いプロセスの「見える化」を図ります。

 

GDPR 3

② 分析および評価

次のステップは、集めた情報の分析、および評価です。このステップで考慮する点は、2つに大別されます。一つはコンプラアンス体制、データ保護体制など、社内のプロセスにかかわる部分です。もう一つは情報システムのチェックになります。

社内プロセスで一番重要なのは、データ流出が起きてしまった際の体制の構築です。というのもGDPRではデータ流出がわかってから72時間以内に、関係機関への報告することを求めています。これを可能にするためには、事前の準備が欠かせません。テュフ ラインランド ジャパンではフローチャートの作成を通じ、有事の際に、慌てずに対応するための準備を支援します。

 もう一方は、情報システムのチェックです。言うまでもなく個人情報はいろいろなITツールによって管理されています。例えばWebのお問い合わせフォームを通じて入ってきた個人情報は、SQLなどのデータベースに登録されており、必要に応じてE-mailや、業務システムによって担当者に通知されます。そして処理された結果はストレージに保管され、ストレージのバックアップを取る場合には、バックアップ先にも保管されます。

 

[ Personal Data Breach Notification Flowchart 例 ]   

example-update

 これらのITシステムが個人情報をGDPRの要件に従う形で、きちんと設計されているか、また設計どおりに運用されているかをチェックすることが重要になるのです。具体的にはデータの転送、保存、処理が安全に行われているか、また適切な暗号化処置がとられているかの分析を重点的に行います。

 テュフ ラインランド ジャパンでは、ITインフラの設計、構築などの経験を数多く手がけたセキュリティコンサルタントが、ITセキュリティ業界のベストプラクティスに基づいてチェックを行っています。分析にあたっては最新の攻撃手法、システムに存在する脆弱性などを考慮しています。

 

③ 報告とアクションプラン策定

分析、および評価が終わると、お客様に対して現状どのようなギャップが存在しているのか、このギャップによりどのような問題が起きる可能性があるのか、そしてどうすればギャップを埋めることができるのか、詳細な報告を行います。ギャップを埋めるためのアクションプラン策定にあたっては、リスクインパクトを考慮した上で、優先順位付けをします。具体的には“至急” “1ヵ月以内” “3ヵ月以内” 6から12ヵ月以内“の区分けで、具体的なアクションにまで落とし込んでアドバイスします。

 例えばクラウド環境について分析した結果、データベースが暗号化されていないまま保存されていたため、ハッキングされた際に個人情報が流出しかねない、という問題が発見された例がありました。その際にテュフ ラインランド ジャパンでは、AWS RDS DB インスタンスの暗号化オプションを有効にすることで、インスタンスとスナップショットをAES-256bitで保護する、というレベルまで踏み込んでアドバイスするようにしています。

 また必要に応じて、社外との機密保持契約条項などを改善する必要も出てきます。そのように際にも具体的な契約のテンプレートなども極力提供するようにしています。そのためGDPR対応にかかる時間とコストを大幅に短縮することができると、お客様から好評をいただいています。

 GDPRに精通した専門家が日本には少なく、どのような対応をすればよいのか、明確ではないことも多いのですが、テュフ ラインランド ジャパンでは、ドイツ本社のGDPR対策本部(Center of Excellence)とも協働し、ヨーロッパの動向なども踏まえながら、高品質なサービスを提供できる体制を整えています。GDPR対応について何から手を付ければよいのかわからないので相談したいなど、お困りのことがありましたら、ぜひテュフ ラインランド ジャパンの専門家にお問合せください。


GDPR対応サービスについてのお問い合わせ:テュフラインランドジャパン カスタマーサービス
東日本地域のお客様 045-470-1850
西日本地域のお客様 06-6355-5400
メールでのお問い合わせ info@jpn.tuv.com

Topics: GDPR, 個人情報