GDPR対策に必要なデータ保護とは

2018年から施行が開始された GDPRは、欧州の企業だけでなく日本企業も対象となる可能性があります。
GDPRを理解し、適切なデータ取得・管理・運用が実現できるよう、体制を整える必要があります。

GDPRとは

概要

EU が新たに定めたデータ規則です。General Data Protection Regulation の略であり、日本語では「EU一般データ保護規則」と訳されます。 2018 年 5月 25日に施行されました。

GDPRの対象

この規則が対象にするのは、EU 域内の企業だけではありません。EU 域内住民のデータを取り扱う企業であれば、EU に支社を持たなくとも、世界中の企業が対象となります。この「取り扱う」には、オンライン上での個人の趣向・行動パターンの追跡、広告をはじめとしたマーケティングなどの行為も含みます。

従来の条例からの変更点

GDPRは、その前身である EU DPD (EU Data Protection Directive /EUデータ保護条例) とは様々な点で大きく異なります。DPD は単なる「約束事」であり、強制力が強いとは言えませんでした。一方、GDPRは違反に対して非常に高額な制裁金を定めるなど、厳格化しています。また、データに対して権利を保持する個人(データ主体)の権利を強固にし、データの範囲も明確に定めています。

GDPRで求められるコンプライアンスとは

日本企業にも影響のある GDPR。データ保護の観点から、その気をつけるべき点をまとめています。施行前に是非一読ください。

日本企業が気をつけるべき点

GDPRに違反しないためには、まずどのような個人情報を自社が収集しているのか、どこにデータを保存しているのかを特定し、データを使用している目的を明確化する必要があります。

大切なのは、企業が取得したデータの主権は「個人にある」と認識することです。極端な言い方をすれば、「個人から許可をもらい、企業は一時的に使用している」のであり、個人はいつでもデータを取り返すことができます。下記に簡単に「気をつけるべき点」を記載いたしましたが、下記が全てではありません。

厳しい罰則

GDPRの特徴として、高額な制裁金が挙げられます。制裁金の上限金額は2つのレベルに分けられます。
・1000 万ユーロか、全世界の総売上の 2% の高額な方を上限とする
・ 2000 万ユーロか、全世界の総売上の 4% の高額な方を上限とする

モバイルデバイスの紛失による権利の侵害などにも制裁金が課せられる可能性があります。

幅広い対象データ

日本企業では一般的に「保護するべきデータは、氏名など個人を特定できる個人情報」と思われています。ですが、GDPRで定められている「保護するべきデータ」はより広範囲です。 例えば MAC アドレスや IP アドレス、生体認証データ、信仰している宗教など、それ単体では個人を特定できないデータも保護対象に含まれます。 これらを収集し、使用する際には、あらかじめ個人の明確な同意が必要となります。

強化された個人の権利

たとえデータ主体の明確な同意が得られていたとしても、データの主権が企業に渡ることはありません。個人は主に下記の権利をデータに対して所有しています。企業は限られた例外を除き、この権利を尊重する必要があります。
※ 下記には限られません

  • ・忘れられる権利
    データ主体は、データの削除を企業に求めることができます。この場合、オリジナルデータはもちろん、バックアップデータなども全て削除する必要があります。
  • ・データの処理を制限する権利
    データの正確性に疑問がある場合や、データの処理への異議がなされた場合、適応されます。この場合、企業はすべての処理を停止する必要があります。処理には、データの転送や保管、削除、加工などが含まれます。また、データ主体からの要請があった場合は、データを保持する必要もあります。
  • ・アクセス権(読み取り可能なデータのコピーを要請する権利
    データ主体は、データへのアクセスや訂正、データのコピー取得を行う権利を保証されています。企業は、一般的な機器で読み取れるようなフォーマットでデータを提供する必要があります。

企業はこれらの要請を受けた場合、ごく限られた例外を除いて、すぐに対応する必要があります。自動処理を行なっている場合でも、直ちにシステムを停止する必要があります。

データの EU 外への移転

GDPRでは、個人情報データを欧州経済圏外に移転する際には注意が必要です。移転先の国でのデータ保護に関する情報や、データ主体が移転に関する情報を得ることができるかなど、様々な事柄を明確にする必要があります。なお、欧州委員会が保護水準を満たしているとした国は11カ国ですが、日本や東アジア諸国は含まれていません。

GDPR遵守のための
エンドポイントデータ保護を

マルチOS対応・web管理コンソールから楽々管理

Druva inSyncが改善する GDPR対応

データの特定

今日の企業は、サーバーだけでなく個人のパソコン、スマートフォン、Microsoft 365 などのクラウドアプリなどあらゆる場所にデータを保持しています。 inSync はその全てをクラウドへ集約し、検索と分析を可能にします。不適切なデータの保持を防ぐだけでなく、いざという時に迅速な対応を可能とします。

データの可視性

GDPRの遵守には、どこにデータがあり、誰が所持しているかなどの可視性を保持することが不可欠です。データの処理の停止や保存などの要請がデータ主体から行われた場合、直ちに従う必要があるからです。また、盗難や紛失によりデータが流出の危機にさらされた場合は、迅速に対応し、個人に連絡する必要があります。「どこにそのデータがあるのかわからないから対応できない」「盗難された機器のデータは、もうどうすることもできない」では通用しません。

inSyncがあれば、企業は世界中のエンドポイントやクラウドサービスに存在するデータの保護や収集、監視を行うことができます。この広範囲な可視化により、 組織はデータの状態を確認し、情報を収集することが可能となります。GDPR遵守のために最適な枠組みの採用も円滑に行うことができます。

データの適切な対処を可能にする

GDPRにおいて、データ主体からデータの削除や処理の停止などを求められた場合、企業は従う必要があります。対象は、オリジナルデータだけでなく、バックアップデータなどにも及びます。この時、テープバックアップなど、データの特定や部分的なデータの削除が難しいシステムを用いている場合、遵守が困難となります。 inSyncであれば、特定のデータを即時に検索し、web 管理コンソールから削除することが可能です。

また盗難や紛失が起こった際は、Web 管理コンソールからローカルデバイスに保存されているデータを削除することが可能です。そのデバイスにどのようなデータが保存されていたかも分析できます。

お問い合わせ