シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】

こんにちわ。仲手川です。

本日のWBSでも報じてましたEUで始まった新個人情報ルール「GDPR」。
日本ではあまり報じられてませんが、日本の企業にも関係なくないですからね。

ＥＵ、個人データ保護の新ルール施行（ NIKKEI2018/5/25 16:37 )

GDPRとは?

GDPRとは「General Data Protection Regulation」の略で、本日（2018/5/25）からEUで施行がスタートされる新ルールのことです。

日本でいうところの「個人情報保護法（2017年改正）」のようなものですが、日本よりも圧倒的に厳しく、EU域外の日本企業であっても「EUの企業と取引する企業は全て」に適用される制度です。

GDPRはEU域内で取得した個人情報を適切に管理することと、EU域外に移転することも禁止しており、現地従業員の情報や日本から派遣されている駐在員の情報も対象となります。

たとえ現地に事務所が無くてもネットなどで顧客情報を取得、移転する場合も適用されますし、企業規模に関わらず中小ももちろん対象です。

日本なら個人情報に当てはまらないIPアドレスや、場合によっては検索行動から知り得るクッキー情報なども個人情報として扱われるのが日本と異なる点です。

これは、単体情報では個人識別ができなくても、実際は複数の情報を組み合わせることで識別が可能となってしまう場合には、これも「個人情報とみなす」という考えによるものです。

また、データをローカルネットワーク内で暗号化することや、暗号化されたデータと別に復号鍵を保管することが規定されており、大量の個人情報を扱う企業の場合はDPO（データ保護責任者）の設置が必要とされるなど厳しい内容となっています。

日本でいうところの個人情報保護管理責任者ですね。

※ちなみに日本でも、既に昨年（2017/5）より個人情報保護法が改正され、すべての会社（厳密には１件の個人情報でも持っている会社）は個人情報管理責任者の設置等の管理体制は義務になっています。

以下の項目に当てはまる会社はご注意ください

以下の①～③にあてはまる会社は、「日本企業だから関係ない」、や「EUがこんな厳しいとは知らなかった」では済まされないので注意が必要です。

早速本日、当社のISMSやPマークコンサルを行なっているお客様数社からお問合せを戴きましたが、具体的には以下の会社が対象となります。

①EUに支店、営業所などの拠点を持つ会社

②EUに商品やサービスを提供している会社

③EUから個人情報の処理について委託されている会社

※イギリスはどうなんですか？という質問も戴きましたが、もちろん現在はまだ全然EUですので含まれます。

とはいえ、日本でのマイナンバー制度もそうですが、こういった法律で実際問題として罰則や刑事罰が用意されているものの、そこまで発展するケースは実はあまりないのが現実です。

しかし、その数百倍の数で、こういった法律があることを被害根拠とする損害賠償事件がたくさん起きています。
企業は膨大な示談や慰謝料を払うことになっているケースは、日本でも身近にめちゃくちゃあるのです。
※企業は自社の不祥事をいちいち周りに言わないだけです。

また、単に民事訴訟でユーザーや取引先から損失を受けるだけならまだしも、そのトラブルをネットで書かれてしまった日には、今の時代危機的な経済損失が起きることは想像に余ります。

つまり、直接の罰則にて処分されるのではなく、その罰則がある事で民事訴訟の判決要因になるということを企業はリスクとして知ってしておく必要があるというわけです。

正しい対策を行いましょう

日本は欧米をモデルとして個人情報保護に関する法律作りを歩んできました。

今年の日本工業規格（新JIS）も、欧米で主流の国際基準であるISO（ISMSなどの）の基準にあわせる流れからのものです。

PマークやISMSの認証取得を行うことだけで、情報リスクを100％無くすことはできませんが、とはいえ企業間取引での最低基準という考えは、大手企業を中心に年々中小へも広がってきています。

まとめ

セキュリティー対策は、構築、運用までに時間がかかるものです。

正しい対策を行っていただくことが大切であり、早めの対策開始をお勧めいたします。

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている？（ＩＳＭＳ取得事業者からよくある質問）】