[市場動向]

変わる個人情報保護法制<後編>:法令の改正に対してCIO、IT部門に求められる対応とは

2017年10月4日(水)勝村 学(KPMGコンサルティング)

欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

 「GDPRが施行される2018年5月までに、グループとして最低限、どのようなシステム面の対応をしなければいけないか」。ここへきて、グローバル展開する日本企業の本社IT部門からEU一般データ保護規則(GDPR)対応に関するこんな相談が急増しています。

 特に2017年7月以降が顕著です。施行まで1年を切り、GDPRという単語をニュースやWebで見る回数が多くなった影響があるのか、あるいは「自社やグループ企業の対応はどうなのか」と経営層から問われる機会があったのか。同時に制裁金の大きさと適用範囲の広さを知るにつけ、「何はともあれまず予算を確保しておかなければ」との考えが出てきたこともあるでしょう。いずれにせよ切迫感を持って情報収集に勤しんでいる状況ではないでしょうか。

 そこで問題に突き当たります。GDPRはもちろんのこと、日本を除く各国の個人データ保護法令におけるITに関する記述や規定は掴みどころがなく、対応計画を立てることすら困難であるからです。言い換えれば、記されている要件は非常に抽象的であり、何をすればよいか明確には記載されているケースは稀なのです。

 皆さんもご存じの通り日本の個人情報保護法では、法令要件に対して実施すべき内容がガイドラインとして纏められています。例えばIT部門として関与すべきセキュリティ対策も「安全管理措置」として手法の例示が体系的に整理されており、これをチェックリストとして対応に着手できます。もちろん「何から優先すべきか、どこまでやるべきか」といったレベル感に関する悩みは残りますが、「何をすべきか」で躓くケースはほぼありません。

GDPRにおけるセキュリティ対策のポイントを読み解く

 ではGDPRの要求事項は実際のところ、どのように記載されているのでしょうか。例として日本法における「安全管理措置」と対比して捉えられることが多い「処理のセキュリティ」に焦点を当て、その条文(32条)を単純化して記すならば、下記の内容が定められています(図1)。 

図1 GDPRにおける「処理のセキュリティ」(32条)の要約
拡大画像表示

 抽象的で少々読み解き難いと感じられますが、現状では、これ以上の詳細な実施内容を示したガイドラインなどは公表されていません。そこで図1からGDPRにおけるセキュリティ対策のポイントを読み解いていきましょう。まず(1)からセキュリティ対策の明確な前提として、個人データ処理に関する「リスク評価」を実施しておくべきことが挙げられます。その評価結果に基づいて保護レベルを決定し、対策を行うことが求められているのです。

 逆に言えば、なぜその対策を実施したのか理由を明示できないと、いくら対策を実施してもGDPRの要求に対してストレートに説明できないことになります。そしてこの「リスク評価」の実施方法に対する言及がないことが、対応の自由度を高める一方で、対応の主体であるIT部門にとっては混乱を招く要因になっているものと推測されます。

 続けて(2)及び(3)はリスク評価の実施及び対策の決定において、具体的に抑えるべき観点を示しています。特筆すべきは(2)に挙げられる(d)の項目であり、いわゆる実施している各種の対策を監査などによってチェックすることまで求めているのです。

 また(3)では特に重視するリスクについて言及しており、これはすなわちリスクへの対策として重点的に講じるべき措置を示唆しているものと解釈できます。(3)によって挙げられるリスクを効果的に低減させる措置としては、何より厳格なアクセス制限・管理が重視されるべきではないかと想定されます。

 実務上ではセキュリティ対策といっても、ネットワーク等のITインフラが対象となるものや、各端末の設定により実施されるもの、記録媒体やデータそのものに適用されるものなど異なるレイヤーにより構成されています。またその実装方法も機器の設置や設定のようにIT部門によって実施されるものもあれば、運用ルールに従って従業員が実施するものもあるでしょう。重要なことはこれらの対策を組み合わせて、総合的に抜け漏れのないセキュリティ対策にすることです。そのためにはIT部門の各チームを横断して事前に入念な協議を行い、実施すべき対象及び内容を整理しておくことが必要となります(図2)。

図2 「処理のセキュリティ」における実施対象及び内容例
拡大画像表示
関連記事

Special

-PR-

変わる個人情報保護法制<後編>:法令の改正に対してCIO、IT部門に求められる対応とは欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。

PAGE TOP