Comments
Description
Transcript
GDPR - Clearswift
EU一般データ保護規則(GDPR)に備える 新規則の概要と技術戦略 ホワイトペーパー 2016年 www.clearswift.co.jp 目次 はじめに 3 背景 4 新規則による影響 5 罰金と施行日 5 適用地域 5 個人データの範囲 5 データ処理の正当事由 5 データ処理者およびサプライチェーン 5 プロファイリング 5 同意と同意の撤回(忘れられる権利) 5 国際移転 6 セキュリティと侵害報告 6 データ保護官 6 プライバシー バイ デザイン 6 新規則は実際どのように施行されるか 7 例 1 7 例 2 7 | 2 | EU GDPR に備える 2016年 どこから手を付けるか 8 クリアスウィフトにできること 9 まとめ 10 クリアスウィフトについて 11 www.clearswift.co.jp はじめに GDPRと聞いただけで、多くの人は戦慄を覚えるようになるかもしれま せん。それというのも、EUにおける次世代のデータ保護法である一般 データ保護規則(GDPR - General Data Protection Regulation)が、 加盟各国の合意を得て、2018年春の施行に向けて進み始めたためです。 それぞれの加盟国で異なっていた規則を一貫性のある統一規則に置き 替える、という基本的な考え方は、物事を簡素化する福音として広く歓迎 されてしかるべきものです。ところが、新規則に含まれるいくつかの規定 のために、そのような受け止められ方はされていません。 法規制がニュースの見出しを飾ることは普通ありませんが、GDPRには 厳格で規範的なプライバシーに関する義務や、技術的手段による規則 順守確実化への要求、そして高額な罰金といった鋭い「牙」があり、その せいでメディアの注目を集めています。当然ながら企業としては、法令 の順守に努め、あらゆる罰金を回避しなければなりません。しかしそれ 以上に重要なのは、過剰なコストをかけず、また業務を阻害することな く、重要情報を効果的に保護することを真の目標とすることです。 本書ではGDPRへの備えとして、新規則の各条項で規定されたルール を概説し、さらに初期検出とそれによるコンプライアンス計画および プロセスの推進にテクノロジーをどのように利用できるかを解説します。 | 3 | EU GDPR に備える 2016年 www.clearswift.co.jp 背景 ビビアン レディング副委員長(司法 / 基本的権利 / 市民権担当)が ヨーロッパのデータ保護制度を徹底的に見直すための「一般データ 保護規則」という意欲的な法案を発表してから3年が経過しました。 この新しい規則は、単一デジタル市場にとって重要な鍵となるものです。 もしEU市民がオンラインサービスに信頼を持てなければ、テクノロジーが もたらすメリットを享受することはできません。信頼こそが最優先項目 ですが、それには程遠いのが現状です。 新規則の下では、コンプライアンスに対するハードルはこれまでよりも 非常に高いものとなります。また、コンプライアンス違反に対する制裁 も、全世界売上の4%もしくは2,000万ユーロのいずれか高い方を上限と する罰金という、より厳しいものとなる予定です。 新規則制定の方向性、データコンプライアンスに対するメディアと政策 立案者の注目度、そしてコンプライアンス実現上の課題の大きさを考え ると、今日この瞬間からただちにデータコンプライアンス改革に着手し なければなりません。そうしなければ、新制度への備えが間に合わず、 高額な罰金が課せられ、苦労して築き上げた信頼と評判に傷が付くの を防ぐことができなくなります。 では、どこに注力すべきでしょうか。どのようなコンプライアンスが 必要になるのでしょうか。次に、新規則の最重要規定の概要に加え、 現行のデータ保護法との相違点とコンプライアンスに対する現実の 課題についてご説明します。 | 4 | EU GDPR に備える 2016年 www.clearswift.co.jp 新規則による影響 一見したところ地雷原のように見えるこの新規則については、専門家を呼んで詳細な助言をもらうことが絶対必要であるように 思われるかもしれません。しかし、それが実際にできるとは限りません。そこで、以下にGDPRについて考慮すべき主なポイントを 説明します。 罰金と施行 新制度の下では、最高で全世界売上の4%もしくは2,000万ユーロのいずれか高い方の罰金を科すことが合意され、データ保護は 独禁法や反贈賄法と同じレベルに引き上げられました。コンプライアンスについての「見通し」は、極めてコストのかかるものに なりつつあります。今日この日から、新規則が法的効力を生じる2018年春までの間には、しなければならないことが山積してい ます。 適用地域 新制度によるEU規制は、その適用地域を大幅に拡大しています。この適用を逃れる術はありません。シドニーであろうがシリコン バレーであろうが、あるいはアラブ首長国連邦のシャルージャであろうが、EU市民の個人データに関する限り新規則に国境は 存在しないのです。 これまでにも、ペイメントカード業界セキュリティ基準 (PCI DSS) などのように、地理的境界を超える規則や規格は存在して いました。しかし、それらは外部決済システムの利用など、簡素化された方法で扱われる特別なものでした。一方GDPRの場合は、 より広範囲に適用されます。たとえば、アメリカの企業がEU内の個人に製品を販売した場合は、GDPRの適用対象となります。 同様に、スコットランドの小さな会社がウェールズの高地農家に何かを売ろうとする場合にも、GDPRの適用対象です。 個人データの範囲 個人データ(データ主体者に関するあらゆる情報)の定義は新規則の下で大幅に拡大され、より多くの種類のデータが規制領域内 に取り込まれようとしています。しかも、オンライン環境(Web 2.0、インターネット、ソーシャルアプリなど)や急速な技術革新 (携帯、接続性など)と歩調を合わせるための変更が提案されており、EUの「単一デジタル市場」を実現する上での重要な要素 となっています。さらに、国家安全保障や児童保護、医療、調査に関する特別な条件や規定が設けられています。 データ処理の正当事由 データの収集と利用を適法に継続するための条件は、現行法よりもさらに厳しいものになります。主に契約や法的義務の履行に 最低必要なデータ処理だけが、明示的な同意の下に限られた回数だけ許可されます。同意に関するルールも根本的に改正される ことになっており、個人データが処理される目的についての簡潔明瞭な承諾表明が必要となります。これまでのような黙示的で受 身的な同意や、普通の人が理解できない法律用語で書かれた小さな文字の条文は通用しません。雇用や報道といった特別の分野 については、加盟国がそれぞれの国の法律によって微調整を行うことが認められています。 データ処理者とサプライチェーン データ処理に関する法的責任は、処理業務の委託者と受託者の両方にとってこれまでよりも重くなります。現在交渉中のデータ 処理契約があれば、それは2018年の新規則施行を見据えた、将来にも通用するものでなければなりません。当事者はデータに 対するお互いの責任をより明確に文書化する必要があります。リスクレベルが高まったことで、セキュリティ基準やリスク分担、 価格の交渉に影響が出ると予想されます。 プロファイリング データプロファイリングなどの自動処理に基づく決定については、データ主体者はこれに異議を唱える権利を持つことになります。 ただし、これには例外事項が設けられています。たとえば、契約履行のために自動処理が必要な場合、または自動処理が法により 要求される場合などです。しかし、新規則には個人の権利を保護するための安全策が組み込まれています。広告主、保険業者、 雇用主、その他個人をプロファイリングする技術に依存する分野においては、この規定がもたらす影響について慎重に検討する 必要があります。 同意と同意の撤回(忘れられる権利) EU市民を保護するため、情報の利用には同意が義務付けられています。これは、現在見られる同意形態とほとんど変わりありま せんが、一つだけ新機軸が含まれています。同意の撤回権がそれです。データ主体者の情報削除権(以前は忘れられる権利とし て知られた同意撤回権)は、新しいGDPRの中心的役割を担います。しかし、この権利は絶対的なものではありません。たとえ ば、データ管理者には、削除要求を考慮する際に、表現の自由など他の競合する権利との間でバランスを取ることが求められて います。これ以外にも、データ保存の継続を許可する例外規定が提案されています。 多くの組織にとって、この忘れられる権利はGDPRで最大の難問かもしれません。情報が一体どこにあるのか、そしてどうしたら削 除できるのかを突き止めることが必要であり、さらに、情報を共有した第三者が要求に応じるようにしておかなければなりません。 1 | 5 | EU GDPR に備える 2016年 http://ec.europa.eu/priorities/digital-single-market/index_en.htm www.clearswift.co.jp 国際移転 国際移転に関する一般原則については、新制度は現行法の枠組みに則って組み立てられています。しかし、その規定は拡張され、 データ処理者にも、第三国または国際組織への個人データ移転にも適用されるようになっています。 セキュリティと侵害報告 新規則では、データ侵害が個人に対するリスクを生じる場合、データ保護当局へのデータ侵害報告が義務付けられました。これ に関しては、組織による実証可能な管理が必須となります。厳格な時間枠と詳細事項が設定されており、政府機関へは24時間 以内に、対象となる個人へは不当な遅滞なく、と定められています。報告には、侵害の性質、侵害対象者、有害な影響を防ぐため に取りうる措置、さらに組織が侵害にどのように対処するかといった項目が含まれていなければなりません。 「適切な」セキュリティに関する規定は、データ管理者のみならず、データ処理者にも適用されるように強化されました。この規 定には、適用可能な行動規範(今後定義される予定)に基づく実証可能なコンプライアンスの他に、次のようなものがあります。 • 個人データの仮名化および暗号化 • 個人データを処理するシステムならびにサービスの継続的な機密性、完全性、可用性、復元性を確実化する能力 • 物理的または技術的インシデント発生の際に、適宜にデータの可用性とアクセスを復元する能力 • データ処理のセキュリティ確保のための技術的、組織的手段を定期的にテスト、査定、評価するためのプロセス GDPRはデータ処理のベストプラクティスなガイドラインを示すための規則ではないということを認識することが重要です。新規則 は、ポリシーとコンプライアンスを徹底するために導入されるべき適切かつ妥当な技術的手段を明確に示し、かつ要求しています。 データ保護官 新規則では、組織内にデータ保護官 (DPO: Data Protection Officer) という新しい役職を設けることが義務付けられています。 その主たる責務は、規則のコンプライアンスについて組織を監視し、組織が保持する情報に対する適切な安全措置を講じること です。DPOの任命に関するルールと規則は比較的複雑で、組織外の個人を任命することも可能です。この役職は独立性が認識 されることが必要なため、多くの場合、特に小規模の組織では、組織内の軋轢を避けるためにこの方法が採用されることになる と考えられます。DPOは改善すべき点を指摘する役職です。新規則が施行される前の数ヶ月間は、 「メッセンジャーを撃つな!」 という叫びがオフィス内にこだますることでしょう。 コンプライアンス計画の作成段階においては、DPOの任命に固執すべきではありません。それよりも先に済ませるべき下準備が 数多くあります。コンプライアンス プロジェクトのプロジェクマネージャーをDPOとして進めても構いませんが、開始当初から 必ずしも必要というわけではありません。コンプライアンスの実現に向けた取り組みには、各部門から集められた規律のある チームが必要です。DPO選任の難しさを言い訳にしていては、プロジェクトの成功が危うくなってしまいます。 プライバシー バイ デザイン データ管理者には、データ主体者の権利を保障できるデータ処理が行われるような、また、設計段階から特定目的に最低必要 な個人データのみが処理され、必要以上の広範囲には開示されないような、適切な技術的および組織的手段や手順を講じるこ とが義務付けられています。 この「プライバシー バイ デザイン」の必要性は、至る所で説かれることになるでしょう。しかし現実には、この点が考慮されてい ないアプリケーションが数多く出回っています。残念ながら、まっさらなところからスタートできる組織はありません。こういった 旧式のアプリケーションも含めて検討しなければなりません。アプリケーションによる組織外への不正な情報流出の監視や阻止 を実行する上で必要となるのは、ほとんどの場合テクノロジーです。アプリケーションやその他の手段(例:Webベースのインター フェース)によって作成され、情報を極秘裏に抽出できるようなレポートも必要です。 | 6 | EU GDPR に備える 2016年 www.clearswift.co.jp 新規則は実際どのように施行されるか 新規則の制定がまだ完了していないため、ある程度の推測が含まれますが、おそらくは以下の様なものと考えられます。 例1 EU内のいくつかの加盟国に拠点を持つある多国籍企業は、ヨーロッパ全体をカバーするナビゲーション、地図作成システムを提供 しています。このシステムは、個人と公共のあらゆる建築物を収蔵しており、さらに個人の写真も収集する場合があります。 現行ルール: データ管理者に義務付けられるデータ保護のための安全策は、加盟国によって異なっています。このサービスの供給は、ある 加盟国において社会的、政治的な抗議を呼び、ある意味違法とみなされました。そこでこの企業は、問題が起きた加盟国において データ保護当局 (DPA) との協議を行い、個人に対する追加的な安全策と保障を提供することになりました。しかし、他の加盟国 の個人に同様の保障を提供することは拒否しました。 現時点において、国境を超えたサービスを提供するデータ管理者は、異なった、しかも時として矛盾する義務を履行するため、 法律上の助言や必要書類の準備のための費用と労力を費やさなければなりません。 新ルール: 新規則は、各加盟国でまちまちな国内法に置き換わり、データ保護に関する単一の汎EU法を確立するものです。どのような企業 であれ、EU拠点の有無に関わらず、EU域内でサービスを提供する場合には、EUのデータ保護法を順守しなければなりません。 例2 フランスの小規模な広告代理店が、ドイツ進出を目指しています。 現行ルール: この企業のデータ処理活動は、ドイツにおけるルールに従う必要があり、新たにドイツの当局者と交渉を行なわなければなりま せん。新しい市場に進出するために法律的な助言を受け、ビジネスモデルを調整するためにかかるコストは、相当な額になりま す。たとえば、データ処理に際して通知料を徴収している加盟国もあります。 新ルール: 新しいデータ保護規則では、それぞれに異なった報告義務とそれに伴う費用を廃止し、単一の統一された報告/同意/削除プロ セスに従うことになります。データ保護規則の目的は、国際貿易上の障害を取り除くことにあります。 | 7 | EU GDPR に備える 2016年 www.clearswift.co.jp どこから手を付けるか GDPRは、もう一つの順守すべき規則というだけにとどまりません。国際企業はこれまで、重要情報の保護という基本目的は同じ にもかかわらず、国ごとや分野ごとに異なる法令に従わなければなりませんでした。一方GDPRは、技術的手段を含め、より厳格 な要求を突きつけてきます。GDPRはあらゆる規模の組織に分野を越えてコンプライアンスの必要性をもたらし、ニュースの見出 しを飾るほどの莫大な制裁金は企業経営者にストレスを与えています。そのようなストレスを感じることはある意味必要ではあり ますが、適切な計画を立てることで軽減できるのです。 まず、この問題はCIOだけのものではなく、法務部や「コンプライアンス監査」部だけのものでもありません。これは企業のすべて の部門が関与すべき問題なのです。なすべきことを把握し、それを実現させるためには、職務を超越したチームを形成する必要 があります。 GDPRは情報についての規則です。情報の収集、分析、保管、そして共有について規定するものです。したがって、GDPRの対象と なるどのような情報を保有しているかを把握するところがスタート地点となります。その把握ができたら、次のステップは同意を 得ている情報の処理目的の把握であり、ついで保管場所、組織内外の情報の流れ、そして情報へのアクセス権所有者を特定する ことです。 情報についての情報を把握することで、大きなリスクがどこに存在し、どのように対処するかについてのコンプライアンス計画を 策定することが可能になります。 | 8 | EU GDPR に備える 2016年 www.clearswift.co.jp クリアスウィフトにできること GDPRの第一の目標は、EU市民の重要な個人情報を保護することにあります。GDPRはなぜ重要なのか、そしてそれに対応できない とどうなるのか、ということについての啓蒙活動が必要になります。これは、企業の情報保護ポリシーとリンクさせる必要があり ますが、ポリシーを実行し、組織と従業員を守るために利用すべきなのはテクノロジーです。 クリアスウィフトは、リアルタイムのデータの可視性、インテリジェントなポリシー適用、そして適応型のセキュリティを比類のない レベルで提供し、グローバル企業のGDPR順守のお手伝いをいたします。コンプライアンスの推進と継続的監視、強制適用の 促進のために、クリアスウィフト製品をぜひご検討ください。 データの可視性 目に見えないものを守ることはできません。クリアスウィフトの製品は、電子メールやWeb、ソーシャルメディア、クラウドストレージ、 コラボレーションアプリなどを通して情報が組織外に流出する前に検査を行い、サーバー、デスクトップやノートPC、ネットワーク シェア上に分散して隠れている個人データを発見します。 このようなデータの可視性を獲得することで、初期段階では管理の難易度評価の一環として、その後の段階では、EU市民の権利 を侵害する恐れのある特定インシデント発生の際にデータ保護影響評価の一環として活用できます。さらに、 「忘れられる 権利」が要求された際には、エンドポイントやファイルサーバー上にある非構造化ファイル内の情報を検索するのにも利用 できます。その後の削除実行は、自動でも手動でも可能です。 インテリジェントなポリシー適用 アクセス権限と共有権限は、すべてのデータで同等に作成されるわけではありません。インテリジェントなポリシー適用機能に より、ポリシーをあらゆるチャネルで一貫して、しかもGDPRの適用地域、データタイプ(国家安全保障、児童保護、医療など)、 処理目的、要求されるセキュリティ措置に応じて、インテリジェントに適用できます。 インテリジェントなポリシー適用では、ポリシー決定にコンテキストとコンテンツの両方が利用されます。コンテキストとは送信 者および受信者(またはターゲットのアップロードサイト)であり、また、通信メカニズム(電子メール、Web、エンドポイントなど) も含まれます。単一の共有ポリシーにより一貫性が確保され、同時に実装とその利用が容易になります。文書ファイルを会社の 電子メールで送付する際に取るべきアクションは、通信の暗号化となるでしょう。しかし、同じ文書ファイルをクラウドコラボ レーションサイトにアップロードする場合、取るべきアクションは秘匿を要する機密情報の自動除去でしょう。さらに、ユーザー が同じ文書をUSBドライブにコピーしようとした際には、システムにブロックさせることができます。 適応型セキュリティ GDPR対象情報が部内者のうっかりミスや悪意あるインサイダー、または悪質な外部からの攻撃による流出漏洩を防ぐには、出 口ポイントの防御が不可欠です。 適応型のセキュリティでは、GDPRポリシーに基づいた自動秘匿化、暗号化、ブロック、移動、削除をリアルタイムに行います。こ のクリアスウィフトの「アダプティブ リダクション」技術により、多くの組織がGDPR順守を実現できます。必要な個人データだけ を共有防止のために削除し、他のデジタルアクティビティは業務を阻害することなく、また誤検出無しに継続することが可能で す。エンドユーザーに気付かれることのない、完全な保護の実現です。 ガバナンス データ保護官 (DPO)、コンプライアンスマネージャー、ITセキュリティ担当者は、レポート、ポリシー違反、隔離データ、ログに 対する完全な可視性を手に入れることができます。 クリアスウィフト独自の追跡機能により、ポリシーや適応型セキュリティのリアルタイム適用だけでなく、報告に必要な紛失個人 データ、ソース、リスクを特定するための違反、侵害分析が可能です。 さらに、ファイルとその下位レベル(情報)のきめ細かな追跡により、サードパーティーに渡った情報をも監視し、GDPR順守に役 立てることができます。情報来歴レポートは、どの情報がどのサードパーティーに渡ったのかを特定するのに役立ちます。したが って、制定予定の「忘れられる権利」に基づいた要求が起こされても、適切な外部組織にコンタクトすることが可能です。 クリアスウィフトとEU加盟国 イギリスに本拠を置くクリアスウィフトが持つヨーロッパ地域に対する専門知識と欧州理事会との強いつながりは、グローバル企業 向けのGDPR順守ソリューションに反映されています。 効果的なGDPR順守の成否は、組織の必要に適応したポリシーを適用できるソリューションにかかっているのです。今日だけでなく、 将来においても。 | 9 | EU GDPR に備える 2016年 www.clearswift.co.jp まとめ 一般データ保護規則 (GDPR) がまもなく施行されます。本書の執筆時点から計算すると、それまでわずかに2年ほどしかありませ ん。IT関連プロジェクトとしては、これは非常に短い期間です。もちろん、GDPRはITに限定したプロジェクトではありませんが、IT が大きなパートを占めるのは間違いありません。当然ながら予算が必要です。予算編成が行われるのは、特に大企業において は、年に1度です。したがって、もし今年度の予算にGDPRが組み込まれていなければ、新規則が施行されるまでにはわずか1会計 年度しかないことになります。恐ろしいことです。 GDPRは、貴社の情報マネージメントとガバナンスを秩序立てる機会と捉えるべきです。2000年問題がシステムに新たな秩序を 構築するためのプロジェクトとして捉えられたように、GDPRもまた、情報に新たな秩序を与えるためのものです。多くの人に とって、組織内に存在する情報を本当の意味で理解し、保存場所に関わらず保護するための真のコントロールを施すというのは、 今回が初めての機会だと思います。 コンプライアンス達成のためのプロセスは、情報について理解し、それがどのように保護されるべきかという企業ポリシーを 定義し、テクノロジーを利用してそのポリシーを適用するところからスタートします。 GDPRは、決して大規模なグローバル企業だけのものではありません。サイズと分野に関わらず、EU域内でビジネスを行うすべて の企業が対象となっています。したがって、コンプライアンスを実現するために使われる技術的ソリューションは、それを使用 するすべての人にとって使いやすいものであることに重点が置かれなければなりません。 クリアスウィフトは、情報について理解し、その情報の保護、管理、ガバナンスを推し進めるソリューションを提供いたします。 | 10 | EU GDPR に備える 2016年 www.clearswift.co.jp クリアスウィフトについて クリアスウィフトは組織のビジネスクリティカルな情報を保護し、セキュアなコラ ボレーションの実現とビジネスの成長を推進する、世界から信頼を受けている情 報セキュリティ企業です。クリアスウィフトの革新的技術は、アダプティブ(適応 型)DLP(情報漏洩防止)への迅速な移行をサポートし、ビジネスの阻害要因とな るリスクを除去し、組織の機密データの常時100%の可視化を実現いたします。 クリアスウィフトはヨーロッパ、オーストラリア、日本、アメリカに拠点を置き、現在 900を越えるリセラーと共に世界各地でビジネスを展開しています。 クリアスウィフト株式会社 〒163-1030 東京都新宿区西新宿3-7-1 新宿パークタワーN30階 tel. 03-5326-3470(代表) fax: 03-5326-3001 Email: [email protected] Web: http://www.clearswift.co.jp/ 2016年10月