★☆★JNSAメールマガジン 第115号 2017.7.7 ☆★☆

こんにちは
JNSAメールマガジン 第115号 をお届けします。

みなさま、お待たせいたしました!前号でもご案内いたしました「SECCON 2017」のWebサイトが公開されました。

◆SECCON2017◆
https://2017.seccon.jp/

今年度の大会スケジュールも順次公開してまいります。
アップデート情報は「SECCON 2017」のメールマガジンで配信されますので、ご希望の方は「SECCON2017」Webサイトからご登録ください。

さて、今回は、前号に引き続き、サイボウズ株式会社の石渡清太様にご寄稿いただいた「GDPRに対する問題提起のその後」の後編をお送りいたします。


【連載リレーコラム】
GDPRに対する問題提起のその後(後編)

サイボウズ株式会社 事業支援本部 内部統制部
シニアエキスパート 石渡清太

3.日本国内のサーバーへの個人データの移転のための要件とは?

個人データに関し、EEA域外へのデータ移転を適法に行うためには、本来は、データ主体の同意が必要となりますが、この同意の要件が厳しく、現実的にそれを満たすことが困難なケースが多いと考えられます。そのため、(1)十分性が認められている国または地域への移転、(2)拘束的企業準則(Binding Corporate Rules,以下「BCR」)の承認を得た企業グループ内での移転、(3)標準契約条項(Standard Contract Clauses,以下「SCC」)を締結した企業間での移転が認められており、さらに今後は、行動規範(Code of Conduct)、認証(Certification)に基づく移転も認められることになっています。

(1)の十分性については、日本はまだ認められていないため、個人情報保護法の改正などに基づき、現在日本政府が交渉を行っている状況であり、優先的に交渉が進められているという話ではありますが、結果として認められない可能性もあると言われています。

次に、(2)のBCRは、企業グループ内での個人データの移転を認めるもので、監督機関の承認を得ることが必要となります。EU域内に拠点を有し、その拠点で取得した個人データを企業グループ内でやり取りする場合には有効な手段であり、また、複数のグループ内企業とのやり取り等が発生するようなケースでは、後述するSCCを個別に締結するよりも適切な方法とも考えられ、日本企業でも取得している企業グループが出てきています。但し、監督機関の承認を得るためのドキュメントの準備や、審査への対応など、その対応コストが比較的高いものとなっており、また、企業グループ外とのやり取りが発生する場合には、結局後述するSCCの締結が必要となっています。

また、(3)のSCCは、欧州委員会が承認したテンプレートに基づく個別契約を締結するものであり、企業グループ外への移転にも使用可能なものとなります。これは既にテンプレートが存在するものであり、日本企業でデータ移転が必要な場合は、SCCを締結するのが一般的となっているようです。但し、個別契約の締結となるため、多数の企業とのやり取りが発生するような場合には、その管理コストなどが膨大になるようです。

このように、データ主体の同意を含め、データ移転を適法に行うための方法はいくつかありますが、現時点で実質的に日本企業が取り得るのは、BCR取得か、個別のSCC締結とされており、データ移転を行う相手方との関係や、それぞれの対応コストなどを踏まえて選択をすることになります。

4.現状の対応は

(ア)以上を踏まえて、当社でも、将来的なEU市場への展開を想定しつつ、GDPR対応として、BCRの承認の取得やSCC締結などを検討しております。

(イ)但し、BCRの承認の取得のためにはEU域内の拠点設立が必要であり、また、BCRの承認取得、SCC締結のいずれの方法を取るにしても、まずは、当社がGDPR上の責任を負う範囲を正確に把握した上で、現状の社内のデータ管理体制がGDPRに準拠したものであるかどうかを確認することが必要であり、その際には現地弁護士への確認も必要となります。

(ウ)その一方で、EU以外でも、例えば、現在子会社のある米国のHealth Insurance Portability and Accountability Act (HIPAA)や、Health Information Technology for Economic and Clinical Health (HITECH) Act 、中国その他現地パートナーによる展開を行っているアジア各国のデータ保護法制など、個人データの取り扱い等については様々な国の規制があり、それらを踏まえたデータ管理体制の確認も必要となっております。

(エ)そのため、GDPRだけでなく、他の国々の法制も踏まえて、クラウドサービス事業者におけるデータ管理体制として必要な要件を確認しつつ、日本政府の十分性認定その他の交渉の状況を確認しながら、今後のお客様からの要望に合わせて、必要な対応を行っていきたいと考えています。

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★西日本支部技術研究WGで「CSIRT演習 マルウェア解析 机上演習」として
 勉強会を開催いたします。

 日時:7月26日(水)18:30〜(18:10受付開始)
会場:エムオーテック株式会社 大阪本社10Fセミナールーム

 参加ご希望の方は、JNSA事務局<office@jnsa.org>までご連絡ください。


【事務局からの連絡、お知らせ】

★6/12開催「JNSA 2016年度活動報告会」の発表資料を公開しました。
 http://www.jnsa.org/seminar/2017/0612/

★「SECCON2017」公式サイトがオープンしました。
 https://2017.seccon.jp/

★「全国横断セキュリティセミナー2017」開催しています!
 2017年7月13日の仙台会場は、お申込み受付中です。
 
 ・SIer・セキュリティ事業者様向け(午前)
  http://www.jnsa.org/seminar/2017/cross01/
 ・一般企業向け(午後)
  http://www.jnsa.org/seminar/2017/cross02/

★「IT活用促進資金向けセキュリティ対応製品サービスリスト」を公開しました。
 IT活用促進資金のセキュリティ対策要件を満たすと思われるJNSA会員企業が
 開発・販売・提供しているセキュリティ製品・サービスの一覧です。
 IT活用促進資金のご利用を検討の際にご参照ください。
 http://www.jnsa.org/it_katsuyou/

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第115号
発信日:2017年7月7日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.