日本オラクル特集記事

GDPR、正しく理解している? ITマネージャーが初めに知るべき2つのポイント

2018年5月、EU域内における新たな個人情報保護規則として「EU一般データ保護規則(GDPR:General Data Protection Regulation)」が施行された。グローバルにビジネスを展開する日本企業の多くが同規則の対象となるが、対策を完了している企業はまだ少ないようだ。なかには、経営層やITマネージャーの認識不足や誤解が対策を遅らせているケースもあると思われる。本記事では、企業がどのような対策をとる場合でも、その取り組みを主導する経営層やITマネージャーが初めに理解すべきポイントを2つ紹介する。

GDPRについてのよくある誤解

2018年5月25日、EU域内における新たな個人情報保護規則である「EU一般データ保護規則(GDPR:General Data Protection Regulation)」が施行された。施行から数ヶ月が経過し、国内でもGDPRの認知度は高まっているものの、必要な対策をすべて完了している企業はまだ少ないようだ。

多くの企業で対策が進んでいない理由の1つに、GDPRに対する経営層の理解不足や誤解があると思われる。その一例として挙げられるのが、「EU域内で運用される規則だから、自社には関係ない」という認識だ。GDPRはEU在住者のパーソナルデータ※1の保護を目的としたものであり、たとえEU域内に事業拠点を構えていない場合でも、ビジネスでEU在住者を対象としている場合には何らかの対応が必要となる場合がある※2

※1 名前や住所、各種識別番号といった個人情報をはじめ、利用端末のIPアドレス、位置情報、さらには遺伝データや健康に関するデータなど、広く個人を識別可能な情報を含むデータ。本記事では、日本の各法制度における「個人情報」と区別するために、原文のPersonal Dataを片仮名で「パーソナルデータ」と表記する。
※2 2018年秋にEUと日本間でのパーソナルデータの流通を可能とすることが予定されているが、あくまでも「パーソナルデータの越境」が可能になっただけであり、GDPRの要件を遵守することが必要なのは変わりない。

こうした誤解は、企業が利用するITシステムに関しても散見される。GDPRの狙いはパーソナルデータの保護であることから、企業が同データの管理および処理に利用するITシステムについても、EU在住者のパーソナルデータを取り扱う限り、GDPRの各条項に準じた措置の実施が求められる。昨今はITインフラをクラウドサービスとして利用する企業が増えており、ITマネージャーの中には「GDPR対応はクラウドベンダーが検討すべきこと」と誤解されている方もいるかもしれない。しかし、実際には、ITインフラをクラウドサービスとして利用する企業とクラウドベンダー双方が各々の役割を果たさなければならない。

このような誤解は、GDPRへの対応を遅らせるばかりか、同規則への適切な対応を誤り、結果として自社に経済的あるいは社会的な損失をもたらすことにつながりかねない。GDPRに基づきクラウドサービスを正しくご活用いただくために、以降ではITシステムのGDPR対応を検討するうえで初めに理解しておきたいポイントを2つ説明する。

まず理解すべきは、パーソナルデータの管理/処理におけるユーザー企業とクラウドベンダーの役割

近年は自社のITインフラとしてIaaSなどのクラウドサービスを利用する企業が急増しているが、そうした企業がGDPR対応を検討するうえで第一に理解しておかなければならないのが、パーソナルデータの管理および処理における自社とクラウドベンダーの役割分担である。

GDPRでは、同規制の対象として、次の3者を規定している。
●データ主体(Data Subject):管理者によって収集および処理されるパーソナルデータを所有する人
●管理者(Controller):データ処理の目的と手段を決定する事業体
●処理者(Processor):管理者の命令に従ってデータ処理のみを行う事業体

これら3者の関係を図示すると、下図のようになる。

図中に記したように、パーソナルデータの所有者であるデータ主体との間で、GDPRで規定された明示的同意取得などの手続きを行い、同データの保護に関して義務と責任を負うのは管理者である。処理者は、管理者が策定したパーソナルデータの保護方針に従い、GDPRの規定に基づくパーソナルデータの管理および処理を実施する。

この関係性を、パーソナルデータの「所有」、「管理」、「処理」の各局面に着目し、パーソナルデータおおよびクラウドサービスに対するスタンス、さらに例としてIaaSであるOracle Cloud Infrastructureに関するスタンスを整理したものが次の図だ。

この図からもわかるように、IaaSなどのクラウドサービス上で何らかのシステムを稼働させてEU在住者(消費者)にサービスを提供する企業は、パーソナルデータの処理に関して目的と手段を決定する責務を負う。「当社はクラウドベンダーのIaaSを利用しているので、GDPR対応はベンダーに任せておけばよい」という認識は明らかな誤りであり、ベンダーとの役割分担を正しく理解する必要がある。

透明性の確保と説明責任の原則、通知義務への対応も重要なポイント

GDPRへの対応に際して経営者やITマネージャーが理解すべきもう1つのポイントは、GDPRで規定された「透明性」と「説明責任」の原則への対応である。

GDPRにおける透明性とは、管理者がデータ主体にパーソナルデータの提供を求める際、その種類や利用目的などに関して明瞭かつ平易な表現で明示して同意を得ることを指す。また、説明責任の原則により、管理者は透明性をはじめとするGDPRの各原則に基づきパーソナルデータを管理/処理していることをいつでも示せるよう備えなければならない。さらに、GDPRでは「消去の権利」として、データ主体がパーソナルデータ取得の同意を撤回した際には、管理するパーソナルデータを遅滞なく消去することを求めている。

これらの規定に対応するために、管理者である企業は、同意を得てデータを取得し、最終的に消去するまでのプロセス全体を通じてパーソナルデータを安全に管理するための仕組み(ITインフラ)を整え、その仕組みが常に支障なく運用されていることを示せるよう準備する必要があるわけだ。

また、これらに加えて留意すべきなのが、パーソナルデータへの不正アクセスや漏洩などの侵害が生じた際の管理者の通知義務である。GDPRでは、侵害が起きた際には不当な遅滞なく監督機関に通知することを求めており、その期間は「侵害に気付いてから72時間以内」とされている。この通知には、侵害されたデータの種類や規模のほか、その侵害によって起こりうる事態の説明、データ侵害に対応して管理者が実施済み、および実施予定の対策に関する説明を含める必要がある。

この通知義務を果たすために、企業はパーソナルデータの侵害を迅速に検知し、侵害を受けたデータの種類や規模を正確に把握するための監視/監査の仕組みを整える必要がある。先の透明性と説明責任の原則への対応と同様、これに関しても強力なITインフラの整備が鍵となる。

GDPRの要件を満たしたクラウド利用における企業とオラクルの役割、Oracle Cloudの利用方針を解説したホワイトペーパーを公開

以上のように、クラウドサービスを利用する場合、ユーザー企業は、GDPRに基づき自らパーソナルデータの保護方針や必要なIT施策を検討/決定することが求められる。オラクルは現在、クラウドサービスの利用に際してユーザー企業とオラクルがどのような役割を負いながらGDPRの各条項に対応するのかを詳細に解説したホワイトペーパーを公開している。Oracle Cloudを利用する企業は、下記リンク先よりダウンロードし、Oracle Cloudを活用したGDPR対応施策の検討にご活用いただきたい。

ホワイトペーパー:Oracle Cloud Infrastructure and the GDPR(欧州連合一般データ保護規則)

※本書の情報は、いかなる法律、規制、規制ガイドラインの内容、解釈、適用に関する法的なアドバイスとして解釈および使用することはできません。顧客(将来の顧客を含む)は、自身で法的助言を求め、パーソナルデータの取り扱いに関して適用される可能性のあるあらゆる法律や規制を理解する必要があります。