2018年から欧州経済地域(EEA)と関係のある企業、または個人に課せられたGDPR。
EEAに関係する企業が対応しなくてはいけない規則ですが、どのようなものなのか分からないという方も多いのではないでしょうか。
GDPRは、EEAに住んでいる方の個人データを保護することを目的として策定されました。
会社としてだけでなく、個人でEU域内のお客様と取引を行なっている場合も適用されますので、注意が必要です。
本記事では、GDPRの対応に必要な対策をご紹介していきますので、ぜひ参考にしてください。
GDPRとは
GDPRは、2018年5月から施行されたEEAに関係する個人情報保護の新ルールです。
EEAは、欧州経済領域のEU28カ国とノルウェー・アイスランド・リヒテンシュタインなどが範囲とされています。
EEAに住んでいる方の個人情報を守るために施行されたもので、取得したデータを適切に処理し、保護するために策定されました。
日本とは関係がなさそうに感じますが、EUと取引している貿易関連などの企業だと必要になります。
個人情報には、名前・住所・メールアドレスなど基本的なものだけでなく、意志なども含まれます。
これらの個人情報を取り扱う企業は、個人の権利を守り、法人としての義務を果たさなくてはいけません。
GDPRが企業に課した義務とは
個人データの保存から削除を適切に行うことと、国をまたいでデータを移転させてはいけないことが記載されています。
主に、取得データの使い方や、保管期間の提示、情報漏えい発生時の通知義務があります。
さらに、センシティブデータの取り扱い禁止も含まれています。
また、データ移転に関しては、取得した個人情報を他の国へ移動させることを禁止されています。
ただし、移転先の所在国が個人データの保護水準を満たしていると認定された場合のみ、データの移転が可能です。
もし、GDPRの罰則対象となってしまった場合は、多額の罰金などを課せられてしまう可能性があります。
日本企業も対応が必要?
GDPRは、海外を対象としている企業だけでなく、中小企業・各種団体・個人にも当てはまります。
個人情報を提供してもらう必要がある場合は、必ずGDPRの対応をしなくてはいけません。
例えば、貿易や物品などをEEA域内の人に販売する場合の氏名や住所を取得するケースなどがイメージしやすいかと思います。
さらに、出張で訪問した人も対応するよう求められていますので、出張の多い業種の方も注意しなくてはいけません。
もし、正しく個人情報を取り扱わなかった場合、日本円にして12億~24億という多額の罰金があるので注意が必要です。
情シスにも影響あり
EUの企業とやり取りがある、もしくは拠点を置いている場合には、情シスにも影響があります。
GDPRは、個人情報や情報漏えい対策などを必要としていて、基本的に情シス部門で取り扱っている作業がほとんどです。
不正アクセスをされないようにセキュリティ対策を行い、取得した個人情報の適切な取り扱いなどがあります。
また、もし情報漏えいが起こった場合の発覚から処理までの対応計画も作成しておかなくてはいけません。
通販サイトなどを持っている場合は、個人情報の取り扱いに関する文書及び同意ボタンの設置もしておく必要があります。
これは、ユーザーから個人情報取得の許可をもらうために重要で、同意された記録を残すこともできるのでおすすめです。
情シスも知っておくべきGDPR対応のステップ
GDPR対策を行う前に、企業が欧州経済地域と取引をしているか確認し、対応が必要かの判断を行わなくてはいけません。
取引することがあるなら、個人情報保護に対応させるため計画し、実装をしていきます。
その後、実際に運用してみて問題点があれば見直しを行い個人情報を適切に扱えるよう環境を構築していかなくてはいけません。
ここからは、GDPRに対応するためのステップを詳しくご紹介していきます。
対応可否の判断・対応準備
EEAに在住する個人のデータを必要とする企業または個人・団体は、GDPRの対応が必須です。
具体的には、BtoB・BtoCに関わらず、氏名や住所などの個人情報を取得し、一時的に保有するのであれば必ず対応しなくてはいけません。
これらに当てはまる場合は、データの取得や管理方法が適切かどうかの準備を始めます。
主に個人のデータを取得するシステムがいくつあるのか、適切にセキュリティ管理されているかなどを確認しましょう。
また、継続的な対応が必要とされるため、新たにGDPRの担当者を決めておくと安心です。
GDPR要件と現状の比較
リストアップしたシステムが、GDPRの要件を満たしているか確認していきます。
個人のデータは、顧客だけでなくEEAに所在を置く従業員にも適用されます。
もし、EEAに拠点を置き、現地の社員を雇っているのであれば、管理が必要になりますので確認しておきましょう。
また、通販などBtoCでの取引があるのであれば、webサイトなどで個人情報の取得に関する同意を求める項目が作られているかもチェックが必要です。
さらに、氏名・住所といった基本的なものから思想に関しても保護されますので、併せて確認してください。
対応計画の策定
個人情報の保護といっても、幅広くすべてを網羅するのは至難の業です。
そのため、事前にGDPRの対応計画をしっかりと策定し、最優先事項を決めておくことをおすすめします。
万が一、情報漏えいが起こってしまうと会社の信頼を落としてしまう事件につながるので、まずはセキュリティ対策を見直しましょう。
その次に、取得している個人情報を適切に管理し、要望があった場合は速やかにデータの削除ができる体制になっているかを確認します。
また、基本的には情シス部門の役目となりますが、現地の社員としっかり連携がとれているのか改めて見直すことも重要です。
計画内容の実装
セキュリティ対策や個人情報の管理について、策定した対応計画を実装していきます。
まずは企業で作成している個人情報の取り扱いに関する文書の内容が適切かどうかを確認しましょう。
実際にGDPRに対応している例を参考にすると問題点を洗い出すことができます。
また、取得したデータが適切に処理されているかもしっかりと確認しておくようにしましょう。
同意のうえで取得しているか、法令順守しているかなどのチェックが必要です。
さらに、情報漏えいが発生した場合には、72時間以内に監督機関に報告できるような体制をつくり、復旧までのプロセスを明確にしておきましょう。
このとき、セキュリティ対策などのGDPRへの対応だけでなく、各種システムの見直しもしなくてはいけませんので、注意してください。
すでに通販サイトを持っているのであれば、GDPRの罰則対象となってしまわないようシステムを見直しましょう。
運用開始・適宜見直しの実施
GDPRに対応したセキュリティ対策・個人情報の管理を実装し、実際に運用していくと新たな改善点が見えてきます。
GDPRは個人情報の適切な保護を目的としているので、定期的に更新される可能性があります。
そこで、定期的なシステム・セキュリティ対策の見直しを行い、常に最新情報を元に運用するようにしてください。
要件を満たさなかった場合、10億単位の罰金が発生してしまいますので、非常に大きなダメージと言えます。
そのため、情シス部門はGDPRに関する業務の管理者を置き、常に正しく管理できるようしておきましょう。
まとめ
GDPRは、グローバル企業だけでなく、EEAに所在を置く顧客や従業員のいる会社に適用されます。
これは、EEAに所在を置くユーザーの個人情報を守るために必須で、漏えいしてしまうと会社としても信頼を落としてしまいます。
さらに、要件に満たさない場合、10億以上の罰金が課せられてしまうので、BtoB・BtoCに関係なく対応しておきましょう。
こだまシステムは、2005年以来、政府金融系システムの運用・保守を行ってきた実績があり、最高水準のセキュリティ対策を実施できます。
現場経験豊富なエンジニアが貴社へご訪問し、現在のシステム構成を確認したうえで最適な解決法をご提案いたします。
また、情報漏えいやセキュリティ対策だけではなく、万が一の事態が発生した場合に備えてデータの自動バックアップや保険についてのご案内も可能です。
もし、GDPR対策についてお悩みの際は、お気軽にお問い合わせください。