★☆★JNSAメールマガジン 第114号 2017.6.23 ☆★☆

こんにちは
JNSAメールマガジン 第114号 をお届けします。

お待たせしていましたがSECCON2017は準備を着々と進めております。
6月29日(木)には記者発表会を行い、今年度のスケジュールや決勝大会の方法などを発表いたします。同日にSECCON2017の新Webページも公開予定ですので、楽しみにお待ちください!
※プレスの方で記者発表会へ参加を希望される方は文末の事務局までご一報下さい。

さて、今回はサイボウズ株式会社の石渡清太様に、「GDPRに対する問題提起のその後」を2回に渡りご寄稿いただきました。


【連載リレーコラム】
GDPRに対する問題提起のその後(前編)

サイボウズ株式会社 事業支援本部 内部統制部
シニアエキスパート 石渡清太

1. 前提

2016年4月に欧州議会に承認されたEU一般データ保護規則(General Data Protection Regulation,以下「GDPR」)の施行が、いよいよ来年2018年5月に迫ってきています。GDPRとは、欧州経済領域(European Economic Area,以下「EEA」)内の個人データの取り扱いに関するルールで、日本企業でも、欧州連合(European Union,以下「EU」)域内に子会社などを有する場合や、EU域内においてビジネスを行っていて個人データを扱っている場合には適用され、巨額の制裁金が課せられるリスクがあり、今まさに施行に向けた準備を行っている企業も多いと思われます。

当社は、クラウドサービス(cybozu.com)を世界中のお客様にご利用いただくことを目指しておりますが、現状ではEU市場には拠点もなく、まだ営業活動も行っておりません。

このような中で、当社代表取締役の青野が将来的なEU市場への展開に関する大きな懸念事項として、GDPRに関し「国産クラウドがグローバル展開できないたった一つの理由(https://note.mu/yoshiaono/n/nbbada52cb0f5)」という記事をネットに書き込んで問題提起をしたところ、反響を呼び、識者を呼んでの公開ディスカッションや、当社の所属する業界団体、関係官庁などとの意見交換の機会を得ました。

それらの結果として、今後当社クラウドサービスをEU市場に展開していくためには、基本的にはGDPR対応は避けては通れないものであり、特に、日本国内のサーバーにデータを保存する場合には、EEA域外の第三国にデータ移転するための要件を具備する必要がある、という結論に至りました。今回は、その要件の概要と当社の現時点での考え方や対応状況をご紹介したいと思います。

なお、この記事は、まだEU市場への展開をしていないクラウドサービス事業者が、今後必要となる対応を整理したものであり、既にGDPR対応を完了した者としての説明で無いことは、予めご了承下さい。

2. クラウドサービスを提供しているサイボウズは適用対象となるか?

まず、現時点でクラウドサービスの提供に関して、サイボウズはGDPRへの対応が必要かという点の検討が必要となりました。当社が、今後EU域内で営業活動を行い、EU域内の企業から契約者情報として担当者名や連絡先などの情報を取得していくような場合には、当然にGDPRへの対応が必要となりますが、直近では、まだその予定が無い状況です。

その他にGDPRが問題となりそうなケースとしては、当社クラウドサービス上に構築されたお客様環境において、お客様が個人データを取り扱う場合となります。この場合、当社従業員がお客様環境に保存された個人データを直接取り扱うことは無いため、基本的には、個人データを取り扱うお客様ご自身がGDPRの対応責任を負うこととなります。但し、GDPRの解釈上は、個人データが当社提供のクラウドサービス上に保存される場合には、お客様を管理者(Controller)とし、当社のようなクラウドサービス事業者を処理者(Processor)または復処理者(sub-processor)と位置づけて、GDPRの適用が求められる可能性があります。この処理者(Processor)等は、本来は、個人データの取り扱い業務の一部を委託された事業者などを示すものでありますが、クラウドサービスのシステムによっては、クラウドサービス事業者も理者(Processor)等と解釈される場合があるとのことです。

そのため、当社も処理者(Processor)等としてGDPRの適用が求められる可能性があり、また、日本国内のサーバーに個人データを保存するために必要な対応を取る義務が発生する可能性があると考えられます。
(後編に続く)

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★内部不正WGによるインタビュー連載「日本の人事と内部不正」を
 掲載しました。
「日本の人事と内部不正(第7回)(SCSK株式会社編)」
 http://www.jnsa.org/result/2016/surv_soshiki/index.html
 
★調査研究部会より報告書2点公開しました。
「2016年度 国内情報セキュリティ市場調査」
http://www.jnsa.org/result/2017/surv_mrk/

「2016年 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/incident/

★社会活動部会「JNSAセキュリティしんだん」第25弾を公開しました。
「腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考」
http://www.jnsa.org/secshindan/

【事務局からの連絡、お知らせ】

★JNSA会長である田中英彦先生が、(ISC)2 の2017年アジア・パシフィック
情報セキュリティ・リーダーシップ・アチーブメント(ISLA)のInformation
Security Educator部門を受賞されました。
 https://www.isc2.org/asia-pacific-isla-honorees-2017/default.aspx

★「RSA Conference Asia Pacific & Japan 2017」特別割引のご案内
 会期:7月26日(水)〜28日(金)
 会場:マリーナ・ベイ・サンズホテル(シンガポール)
 Web :http://www.rsaconference.com/events/ap16

※本日(6/23)の13時までのお申込みでなんとS$300のディスカウント!
【割引コード】 8A7JN22FC
※本日(6/23)の13時以降はこちらの御利用でSGD100のディスカウント!
【割引コード】 1A7JNSAFCD

【登録ページ】
https://www.rsaconference.com/events/ap17/register?utm_source=assoc-jnsa&utm_medium=email&utm_campaign=register-apj2017

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第114号
発信日:2017年6月23日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.