GDPR対策のファーストステップは日本の個人情報保護法
違反すると極めて高額な制裁金を科されるEUの「一般データ保護規則」(GDPR)。GDPR対策の第一歩は、日本の個人情報保護法への対応である。特に、メール誤送信防止は取り組みやすい課題だ
特集記事
- 2019年06月26日公開
個人データの移転が原則禁止になっていて、漏えい時の制裁金も極めて高額なのが、欧州連合(EU)の「一般データ保護規則」(GDPR)です。日本への個人データ移転は例外的に認められていますが、その前提として、個人情報保護法プラスアルファの対策を講じなければなりません。例えば、メールについては、誤送信防止の対策が不可欠となるでしょう。
GDPRが規制するのは個人データの処理と移転
EUの人の個人情報を漏らしてしまうと、最高2000万ユーロ(二十数億円)の制裁金が科される可能性がある※1――。
GDPRが施行されたのは、2018年5月25日。ヨーロッパと何らかのつながりを持つ企業・団体の多くは、すでに対応を済ませているようです。
ただ、対策を先送りにしてきた企業やビジネスを始めたばかりのスタートアップ企業にとって、外国の制度であるGDPRには不明点が多くあるのも事実です。そのためか、高額な制裁金や漏えい時のEU当局への通知義務(72時間以内)などの"厳しさ"ばかりが目に付いてしまいます。
GDPRの根幹にあるのは、「個人データを個人自らがコントロールできる権利を基本的人権として認める」という考え方です。この個人データには、名前、識別番号、住所、電子メールアドレス、IPアドレス、HTTPクッキーなど、個人を識別できる情報が含まれます。
このような考え方に基づいて、GDPRは、個人データに対する「処理」と欧州経済領域(EEA)外への「移転」の2つの行為の法的な要件を定めています。処理には収集・保管・変更・開示・閲覧などのすべての操作が該当し、コンピューターによって自動的に行われるものも規制の対象となります。また、移転には「閲覧」も含まれますから、欧州経済領域(EEA)内に保管されているEUの人の個人データを、日本のパソコンからインターネット経由で見る操作も規制対象の移転(持ち出し)とみなされる可能性があります。
ただ、移転に対するハードルをあまり高くすると、インターネット時代のビジネスが成り立たなくなってしまう懸念があります。この点を考慮したのか、個人データの移転については"十分性認定"に基づく例外的な扱いが設けられています。
十分性認定とは、個人データを保護するための体制などが十分な水準にあると欧州委員会(EC)が認めること。この認定を得た国・地域には、欧州経済領域(EEA)内と同じルールに従って個人データを持ち出すことができるのです。
※1)違反行為をした場合、最大で、2000 万ユーロ以下の制裁金、又は、事業の場合、直前の会計年度における世界全体における売上総額の4%以下の金額、若しくは、いずれか高額の方の制裁金が課せられます。
現在はEEA内から日本国内にも移転できる
2018年5月のGDPR施行時に十分性が認定されていたのは、スイス、カナダ、イスラエル、アルゼンチン、ウルグアイ、ニュージーランドなどの11の国と地域でした。日本は2005年4月1日に個人情報保護法を完全施行していたのですが、2018年5月の時点で欧州委員会(EC)は日本を十分性認定国としていなかったため、欧州経済領域(EEA)の個人データを日本国内に移転することはできませんでした。
日本と欧州委員会(EC)が対話を積み重ねていった結果、2019年1月23日に日本は十分性を認定され、欧州経済領域(EEA)内から日本に個人データを持ち込めるようになりました。
ただし、十分性認定を得たからといって"何でもあり"の状態になったわけではありません。
そもそも十分性が認められたのは、日本の個人情報保護法がGDPRとほぼ同等のレベルにあると欧州委員会(EC)が判断したためです。欧州経済領域(EEA)内から日本に持ち込まれたデータについては、日本の個人情報保護法に基づいてきちんと保護しなければなりません。日本の個人情報保護委員会は2018年9月に「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を発表。欧州経済領域(EEA)内から持ち込まれた個人データについては、個人情報保護法の規定よりも高い水準で保護するように求めています。
例えば、要配慮個人情報の範囲を拡大して、「性生活」「性的指向」「労働組合」に関する情報を追加。匿名加工を施す際は、加工方法に関する情報を削除することによって「誰にとっても再識別できない状態」にしなければなりません。また、第三者から提供された個人データについては提供元が決めた利用目的の範囲内でしか利用できず、欧州経済領域(EEA)内から移転された個人データを第三国に提供する際は「移転先の状況を提供したうえで、本人からあらかじめ同意を得る」必要があります。
個人情報保護法対応がGDPR対応への第一歩
では、日本の企業・団体がGDPR対応の個人データ保護体制を確立するには、何をすればよいのでしょうか。
2019年3月現在、どのような対策を取るかは各企業・団体の判断に任されているのが実情です。GDPR対策セミナーや参考書籍で得た情報を手がかりに、自己責任で取り組まなければなりません。
一つだけ確かなのは、個人情報保護法への対応をクリアできていなければ、GDPRにも対応できないということ。個人情報保護法や各種ガイドラインをクリアするための手法はすでに数多く提供されていますので、それらを使って基礎を固めたうえで、GDPRに対応するための施策をプラスするとよいでしょう。
例えば、メールについては、誤送信を防止することが個人情報保護対策の第一歩となります。プライバシーマーク(Pマーク)制度を運用する一般財団法人日本情報経済社会推進協会(JIPDEC)が2018年8月に発表した「(平成29年度)個人情報の取扱いにおける事故報告にみる傾向と注意点」によれば、個人情報漏えい事故の原因のトップは「メール誤送信」(26.5%)。具体的には、「メール宛名間違い」「ファイルの添付ミス」「BCCとTO/CCの誤り」の3類型が多いと指摘されています。
そうしたメール誤送信を防ぐには、ただ気を付けるだけでは不十分。ITツールを使って自動的に防止するのが一番です。
最も簡単なのは、メールソフトなどに備わっている「送信遅延機能」をオンにすること。メール宛名やファイル添付のミスは送信操作の直後に気が付くことが多いので、実際の送信処理を数分遅らせるだけで対処できます。
より本格的な対策をするには、メール誤送信防止に特化した専門のITツールがお勧めです。例えば、NTTテクノクロスの『CipherCraft/Mail 7』(サイファークラフトメール)には、「メール宛名のチェック」「添付ファイルの暗号化」「TO/CCをBCCに強制変換」「上長承認後の送信」などの機能が標準で装備しています。
GDPR対策のファーストステップは、日本の個人情報保護法への対応です。その中でもメール誤送信防止は企業・団体が取り組みやすい課題といえるでしょう。
※会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。