5月25日に施行された GDPR は、EU 内に拠点がなくとも、「EU 内の人のデータを取り扱うすべての企業」が対象になります。日本企業も例外ではありません。
また、罰金がかなり高額(1000 万ユーロか、全世界の総売上の 2% の高額な方、または 2000 万ユーロか、全世界の総売上の 4%の高額な方)ということもあり、世界中で大きな注目を集めています。
そのため、少なくない日本企業も、利用規約関連の変更を含む法務関係の整理や組織体制の再編成を進めています。
ですが、GDPR では、上記の事項と同じくらい、「バックアップデータの管理」も重要になってきます。
1. なぜ「バックアップデータの管理」が重要になるのか
GDPR では、「データ主体(データに関連する個人)の権利」が大幅に強化されています。
従来では、収集したデータはどちらかというと「企業の資産」でした。ですが GDPR の中では、「企業はデータ主体に許可をいただいて、一時的にデータを使わせてもらっている」という向きが強いです。
そのため、データ主体が「データを削除してほしい」「データを長期保管してほしい」という要望を出した場合、かなり限られたケースをのぞいて、企業はそれに応えなくてはいけません。その時、当然「バックアップデータ」も対象になります。
2. 従来のバックアップの問題点
・サーバー
従来サーバーバックアップ先として一般的だったテープ媒体では、データ主体の「データを削除してほしい」という要求に応えることは困難です。
テープバックアップの場合、データの特定が難しいだけではなく、そのデータだけを削除する、ということができません。データ主体に無関係なデータも削除するか、GDPR 違反となるかしか方法がありません。
特にテープバックアップが何年分も倉庫に蓄積されている場合、その全てを遡らなくてはいけなくなるかもしれません。
・パソコン
多くの国内企業では、未だにパソコンのバックアップは「ユーザ任せ」「HDD だけ渡して、あとは勝手にやってもらう」という方法を取っている企業が少なくありません。
前回の記事では、この方法に伴う盗難・紛失の際の危険性について書きましたが、このデータ保護方法は GDPR の要求にも応えることができません。
パソコンを紛失した際、そこに「確実にこのデータ主体のこのデータが含まれていた」と特定できる仕組みは整っているでしょうか。そうなっていない場合、GDPR に厳格に定められている通知義務の違反につながり、罰金が科せられる可能性があります。パソコンと一緒にバックアップ用の外付け HDD まで紛失した場合は、非常に厄介です。
また、「データを削除してほしい」と言われた時、従業員のパソコンと外付け HDD の中まで探しに行き、削除できるでしょうか。
今まで「当たり前」だったデータ保護が、GDPR の下では却って足を引っ張る可能性があります。
ですが、だからと言って、様々なリスクが企業のデータを取り巻く現在、「バックアップをしない」という方法は、GDPR の観点から見てさえも現実的ではありません。
3. これから求められるバックアップ
今までは、「とりあえずデータが他の場所にあればいい」というデータ保護が主でした。
これからは、いかにその保護したデータを企業が「管理」できるか、という観点が重要になってきます。
何を、どの程度の頻度でバックアップしているかなどの情報の可視化はもちろん、検索やユーザの操作ログの長期保管など、様々な機能が求められます。
