インターネットの普及に伴い、個人データの収集、利用、共有がますます増えています。しかし、それに伴って、個人データの漏洩や悪用のリスクも高まっています。
そこで、欧州連合(EU)は、2018年5月25日に、個人データ保護の新たな法律である一般データ保護規則(General Data Protection Regulation, GDPR)を施行しました。
この記事では、GDPRとは何か、どのような原則があるか、どのようにコンプライアンスを達成するか、ビジネスやテクノロジーにどのような影響があるかについて解説します。
グローバルをターゲットにしている事業者や、セキュリティ責任者の方はぜひ参考にしてください。
GDPRとは何か?
GDPRとは、EUが制定した個人データ保護の法律です。GDPRは、1995年に施行されたEUデータ保護指令(Data Protection Directive, DPD)を置き換えるものであり、DPDよりも厳格で包括的な規則を定めています。
GDPRの目的は、以下の3つです。
- EU市民の基本的な権利であるデータプライバシーを保護する
- EU内外で個人データを扱うすべての組織に対して一貫したルールを適用する
- デジタルシングルマーケット(Digital Single Market, DSM)を促進する
なお、個人データとは、特定または特定可能な自然人(生存する個人)に関連するあらゆる情報です。
- 氏名や住所などの基本的な情報
- 電話番号やメールアドレスなどの連絡先
- 生年月日や性別などの個人的な属性
- IPアドレスやクッキーなどのオンライン識別子
- 銀行口座やクレジットカード番号などの財務情報
- 健康状態や遺伝子情報などの特別なカテゴリーの個人データ
GDPRが適用される範囲
GDPRは、EU内外でEU市民の個人データを扱うすべての組織に適用されます。
- EU内で事業を行う組織
- EU外で事業を行うが、EU市民に対して商品やサービスを提供する組織
- EU市民の個人データを分析や監視する組織
企業と個人にどのような影響があるか
GDPRは、EU域内の企業だけではなく、EUに向けて商品・サービスを提供したり、EU域内のデータを扱っている企業であれば日本も例外ではありません。
企業にとっては、GDPRに準拠するために、以下のような対応が必要です。
- 個人データの収集、利用、共有、保存、削除などのプロセスを見直す
- 個人データの保護に関するポリシーを策定し、従業員に教育する
- 個人データの漏洩や侵害が発生した場合に、速やかに当局や関係者に通知する
- 個人データ保護責任者(Data Protection Officer, DPO)を任命する(必要な場合)
- 個人データの移転や処理に関する契約を見直し、更新する
また、個人にとっては、GDPRは以下のようなメリットをもたらします。
- 自分の個人データに関する情報や権利を知ることができる
- 自分の個人データの収集や利用に同意するかどうかを選択できる
- 自分の個人データにアクセスしたり、訂正したり、削除したりできる
- 自分の個人データを他の組織に移転したり、利用を制限したりできる
- 自分の個人データが適切に保護されていることを確認できる
GDPRの主要な原則
GDPRは、個人データ保護に関して7つの原則を定めています。
| 合法性、公正性、透明性 | 個人データは、法律に基づき、公正かつ透明な方法で処理されなければならない |
| 目的限定性 | 個人データは、明確かつ正当な目的で収集され、その目的以外で処理されてはならない |
| データ最小化 | 個人データは、目的を達成するために必要な範囲内で適切かつ関連性があり、かつ限定されていなければならない |
| 正確性 | 個人データは、正確かつ最新であることが確保されなければならない。不正確または不完全な個人データは、速やかに訂正または削除されなければならない |
| 貯蔵制限 | 個人データは、目的を達成するために必要な期間だけ保存されなければならない。それ以後は、匿名化されるか削除されるかしなければならない |
| 誠実性と機密性 | 個人データは、適切な技術的または組織的措置を用いて、不正なアクセスや処理、紛失、破壊、損傷から保護されなければならない |
| 責任性 | 個人データの処理に関する責任は、データ管理者とデータ処理者にある。 彼らは、上記の原則を遵守していることを証明しなければならない |
GDPRコンプライアンスに準拠するためのステップ
企業は、GDPRに対する意識と知識を高めるとともに、組織全体で協力してコンプライアンスを達成することが重要です。
GDPRに準拠するためには、以下のようなステップを踏むことが推奨されます。
現状分析
現在の個人データの収集や利用や共有や保存や削除などのプロセスを把握し、GDPRの要件と比較して、改善すべき点や問題点を特定します。
アクションプラン
改善すべき点や問題点に対して、具体的かつ優先順位の高い対策を立案し、実行します。
例えば、同意フォームやプライバシーポリシーの改訂やデータ保護影響評価の実施やデータ保護責任者の任命などが該当します。
モニタリングとレビュー
対策の効果や成果を定期的に監視し、評価する。また、GDPRの変更や更新に対応して、対策の見直しや改善を行います。
テクノロジーを使ったGDPRコンプライアンスの促進
GDPRは、個人データの保護に関する厳格な要件を定めていますが、同時に、テクノロジーを使ってコンプライアンスを促進することも可能にしています。
テクノロジーを使ってGDPRコンプライアンスを促進する方法は以下のサービスが利用できます。
クラウドサービス
クラウドサービスとは、インターネット経由でデータやソフトウェアなどのリソースを提供するサービスです。
クラウドサービスを利用することで、個人データの保存や移転や処理が容易になります。
ただし、クラウドサービスの提供者は、GDPRに準拠したサービスを提供することが必要です。
暗号化
暗号化とは、データを特定のキーによって変換し、第三者に読み取られないようにする技術です。
暗号化を利用することで、個人データの漏洩や侵害のリスクを低減できます。GDPRでは、暗号化を適切な技術的措置の一つとして推奨しています。
ブロックチェーン
ブロックチェーンとは、分散型のデータベースであり、データの改ざんや消失が困難な特徴を持つ技術です。
ブロックチェーンを利用することで、個人データの透明性や信頼性やセキュリティを高めることができます。
ファイアウォール
ファイアウォールとは、ネットワークやコンピュータに対する不正なアクセスや攻撃を防ぐシステムです。
ファイアウォールを利用することで、個人データの漏洩や侵害のリスクを低減できます。
アンチウイルス
アンチウイルスとは、コンピュータに侵入するウイルスやマルウェアなどの悪意あるプログラムを検出し、除去するソフトウェアです。
アンチウイルスを利用することで、個人データの破壊や改ざんのリスクを低減できます。
バックアップ
バックアップとは、個人データを別の場所や媒体にコピーし、保存することです。
バックアップを利用することで、個人データの紛失や消失のリスクを低減できます。
まとめ
GDPRは、個人データの保護に関する世界的な標準となりつつあり、日本でも個人情報保護法の改正や、EUとの相互適合性認定(Adequacy Decision)の取得など、GDPRに対応する動きが進んでいます。
GDPRは、ビジネスやテクノロジーに大きな影響を与える法律ですが、GDPRに準拠することで、企業が個人データをどのように扱うかを見直し、セキュリティ対策を強化するきっかけにもなります。
最終的に、GDPRは個人データ保護の新しい時代を切り開き、企業と消費者にとってより安全で信頼できるデジタル環境を築く助けとなります。この取り組みは現代社会において、個人のプライバシーを尊重し、同時に革新と成長を促進する重要なステップとなるでしょう。
フリーランコンサルタントとして活躍するなら
『これからフリーランス』を運営する株式会社ビッグツリーテクノロジー&コンサルティングは独立系のSIであり、BTCエージェントforコンサルタントというサービスを展開しています。
本サービスでは、案件紹介だけではなくキャリアアップや単価相談などフォローアップが充実していますので、是非一度ご相談いただければと思います。
