★☆★JNSAメールマガジン 第147号 2018.10.5 ☆★☆

こんにちは
JNSAメールマガジン 第147号 をお届けします。

JNSAではバリ島で開催されるcodBALIにおいて、セキュリティカードゲーム「セキュ狼」英語版の初お披露目と体験会を行います。codBALIに参加される方はぜひJNSAブースにお立ち寄り下さい!

codBALI 2018
https://codebali.server-domain.com

さて今回のメールマガジンは、デロイトトーマツリスクサービス株式会社北野晴人氏に「GDPR施行、宴のあと。」をご寄稿いただきました。

【連載リレーコラム】
「GDPR施行、宴のあと。」

デロイトトーマツリスクサービス株式会社 北野 晴人

世界各国の個人情報保護関連法制度が大きく変わりつつある中、2018年5月に欧州における新たなプライバシー保護の枠組みとして、一般データ保護規則(GDPR: General Data Protection Regulation、以下GDPRという)が施行されました。2017年以降、日本の大手グローバル企業では対応準備が急速に進んでいますが、2018年になって各種報道でも「GDPR」が大きく取り上げられたことから、更に多くの企業が対応を検討しています。しかし業種・業態によってリスクは限定的な場合もあり、過剰反応、過剰投資にならないよう冷静に事業リスクとして自社への影響度を見極めることが重要です。

例えばGDPR施行後、あちこちのWebサイトでクッキーの利用に関するポップアップを見かけるようになりましたが、見てみると「欧州の人向けのサービスであってGDPRの域外適用対象」と言えるのか疑問なケースが散見されます。
欧州にはePrivacy Directive(※1)があり、これに対応している欧州のWebサイトは多数ありますが、GDPRとは別のルールです(今後規則化の動きはありますが)。また欧州のホテル予約サイトがサイバー攻撃を受けて個人データが流出し「GDPR違反か?」と話題になりましたが、こうした事例に対して欧州側当局(DPA:Data Protection Authority・データ保護機関)がどのような対応を行うかも、今後の執行リスクを検討する上で注視していく必要があるでしょう。
また英国では初の執行事例が公開されています(※2)。

GDPRが大きな課題となった理由の1つは、グローバル連結売上の最大4%という高額な罰金と、それを適用する対象に個人データの違法な域外移転が含まれていることです。GDPRでは、それ以前に存在したEUデータ保護指令と同様にEU域外への個人データの移転を規制しており、自由に個人データを持ち出すことができる移転先はEUが「十分性認定」をした国・地域に限られます。本稿執筆時点(2018年9月中旬)ではEU加盟国(正確にはEEA:欧州経済領域まで適用)から日本に個人データを移転するためにはEUが「例外措置」として定めたSDPC、BCR等の手続にしたがう必要がありますが、日本が十分性認定の取得に向けた日欧間交渉を進めてきた結果、2018年7月、EU域内および日本国内で入手した個人データの移転を相互に認めることについて日欧がステートメントを発表しています(※3)。

このことから国内で現在GDPRへの対応を実施中、または検討中の企業の中には域外移転についてこの十分性認定が得られることを想定してSDPCなどの例外措置は行わないという方針を採るケースも出てきています。この場合、日本の個人情報保護委員会が新たに公表した欧州個人データの取り扱いに関するガイドラインに従うことが必要です。また、委託先(GDPRで言う「処理者」)の管理についてはSDPC等の例外措置を使う場合と異なる管理が必要になるので、具体的な実行方法を検討する必要があると考えられます。
また施行後、受託で業務を行っている企業(「処理者」)は、委託元(「管理者」)からGDPR対応や域外移転についての覚書締結を求められるケースなどが出てきています。これは管理者側に処理者をきちんと管理する義務があるためですが、無駄なリスクを転嫁されないように内容を精査して締結する方が良いでしょう。

いずれにしても域外移転に関する手続はGDPRへの対応の中の一部にすぎなないため、十分性認定が得られたとしても、だからといって何もしなくて良いわけではありません。特に域外適用を受ける企業(欧州に事業所・子会社等が無くてもGDPRが適用される)は他の法的要件も満たす必要がありますので、引き続き留意が必要だと考えられます。

※1 DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009,
https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:en:PDF

※2 英国ICOによる初めての執行事例
  https://ico.org.uk/media/2259362/r-letter-ico-to-aiq-060718.pdf

※3 個人情報保護委員会「熊澤春陽個人情報保護委員会委員、
  ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による
  共同プレス・ステートメント」,
https://www.ppc.go.jp/files/pdf/300717_pressstatement2.pdf

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★国土交通省様をお招きしてJNSA会員向け勉強会を開催します。
「交通ISAC創設検討について−国土交通省におけるセキュリティ対策など−」
 日 時:10月18日(木) 16時30分-18時00分
 講 師:国土交通省 総合政策局情報政策課 企画調整官 枝村和茂氏

★経営課題検討WGでは以下の勉強会を開催します。
「持続可能性を語る時、知ってて損の無い2つのお話」
日 時:2018年10月19日(金)16時00分−18時00分
講 師:「管理が生み出す第二の利益」たむら会計事務所 田村洋平氏
「BCP想定訓練と通信確保」リコージャパン株式会社 百瀬潔氏

 ※勉強会・説明会へ参加希望の会員様はJNSA事務局までご連絡ください。

【事務局からのお知らせ】
★JNSA会報誌Vol.46を公開しました。
 https://www.jnsa.org/jnsapress/vol46/

★JNSA会員様には情報セキュリティ国際会議「CODE BLUE」の参加費割引が
あります。割引コードが不明な方はJNSA事務局までお問合せ下さい。
「CODE BLUE 2018」 https://codeblue.jp/2018/

★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの
割引販売を行っております。受講の際にはぜひ事務局までご一報下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第147号
発信日:2018年10月5日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.