is702
ニュース

2018年5月から施行の新規則「GDPR」、EUだけでなく国内企業にも影響大

2017/11/06

トレンドマイクロは11月2日、公式ブログで「施行まであとわずか半年-EU GDPR対応をどうする?」と題する記事を公開しました。

「GDPR」(General Data Protection Regulation、一般データ保護規則)とは、ヨーロッパ連合(EU)において、2018年5月25日から施行される、個人情報保護に関する新しい規則です。「欧州経済地域(EEA)内のすべての市民に関連する個人情報を保護する」ことを目的に、法制度の整備、情報の保護と権利確保、取り扱いの整備を行う規則で、個人情報としては「氏名、写真、メールアドレス、銀行口座情報、ソーシャルネットワークサービスにおける投稿、診療記録、IPアドレス」等、多岐にわたる情報が含まれると定義しています。

たとえば、GDPRへの対応としては、以下のような要件が定められています。

・個人情報の利用にあたって提示する約款は、誰もが理解できる言語で記載されなければならない。
・かつ約款は、簡単にアクセスできるようにしなければならない。
・権利侵害のリスクのある情報漏えい事故の際には、発覚後72時間以内に通知が必要。
・個人情報の主体は、個人情報処理の有無、目的、利用方法等を確認できる権利を有する。
・主体が同意を取り下げた場合等は、個人情報の削除、さらなる流通の中止等を請求できる。
・業務内容によっては、情報保護責任者(Data Protection Officer、DPO)の設置が義務となる。

そしてGDPRは、EU圏内に拠点を持つ組織だけでなく、EU圏内の個人に製品・サービスを提供する組織、EU圏内の個人の活動をモニタリングする組織も対象としています。これは、EU圏外に拠点を持っている組織であっても、GDPRの影響を受けるということです。また企業規模も関係ないため、中小企業であっても、対象に含まれます(データ処理行為の記録義務に関しては、従業員規模250人未満の組織は免除対象。それ以外は企業規模問わず適用対象)。そのため、国内の改正個人情報保護法や割賦販売法と同様に、「GDPR」も国内企業に影響を与えると見られています。

しかも違反時に科せられる制裁金が高額に設定されており、「対象組織の全世界での売上高の4%」あるいは「2,000万ユーロ(約26億3500万円超)のいずれか大きいほうが、違反時の制裁金として科せられます。違反1つで企業が倒産する可能性もあり、影響はきわめて大きいと考えられます。

一方で、トレンドマイクロが2017年6月に実施した調査では、国内の法人組織の68%が、GDPRの存在を把握していましたが、「GDPRの内容を十分理解したうえで自組織のセキュリティ対策にも十分反映させている」と回答したのは、全体のわずか15.0%にとどまっています。業種別・規模別でのばらつきも大きなものがありました。

ここ数年インバウンド(訪日観光客)が増加するなか、東京オリンピック・パラリンピック等の国際スポーツイベントが控えていることもあり、EU圏内市民の個人情報を取り扱う国内企業も増えていくと想定されます。GDPRを理解し、対応を進めていくことは、情報セキュリティ担当部署、事業部門、法務部門、そして経営層・上層部にとって、急務だと言えるでしょう。

なおトレンドマイクロでは、GDPRの概要と対策、支援領域を解説したホワイトペーパー「GDPRのパズルを解く-最先端のサイバーセキュリティによるデータ保護」を公開しており、同社サイトよりダウンロード可能です。



GDPR理解度ならびに対応状況(業種別、n=1,361)<br />

GDPR理解度ならびに対応状況(業種別、n=1,361)

  • hi-hoウイルスバスター月額版
  • hi-ho セキュリティサービス
hi-hoウイルスバスター月額版
hi-ho セキュリティサービス