いよいよ施行開始！押さえておきたいGDPR対策とは

今回のコラムでは、2018年5月25日より欧州で施行されたGDPR（EU一般データ保護規則）についてサーバ管理者やシステム管理者、システム開発者として知っておくべき事項や対策を説明します。

GDPRの適用範囲

GDPRは、EEA加盟国（EU加盟国＋アイスランド、リヒテンシュタイン、ノルウェー）の個人データ保護を目的としています。
注意すべき点は、EEA圏外の企業や団体においても、EEAの個人データを扱う場合は適用対象となります。例えば、インターネットでショッピングサイトや旅行予約サイトなどを運用している企業において対象国の個人データを扱う場合はGDPRの適用対象となります。

日本の個人情報保護法との差異

保護対象のデータは類似している部分があるものの、GDPRではデータの収集、活用、移転を適正に行うための要求事項が非常に多岐に渡っています。日本の個人情報保護法は2017年に改正されましたが、GDPRの厳格な要求事項は満たしていない状況です。
また特に注目すべき事項として、GDPRに違反した場合の制裁金が巨額である点が挙げられます。GDPRでは対象企業の全世界売上高（年間）の4%、または2,000万ユーロのうちいずれか高い方が制裁金として定められています。

GDPRに対する動向

GDPRが施行される直前に実施された各社のアンケート調査結果によると、GDPRに関する認知度の低さが目立っており、多くの企業や団体において対応が間に合っていないとの結果が出ています。このような状況から、GDPRを普及させるために、施行直後に数社を見せしめとして制裁を与えるのではないかというという根拠の無い憶測情報も出ています。ただ、FacebookやGoogleがGDPR施行の初日に提訴されており、またGDPRへの抵触を恐れて対象国向けのサービスを一時停止するWebサイトも出てきているようです。

情報システムに関わる立場として行うべき対策

GDPRでは以下8つのデータ主体の権利が定められています。

• 情報の通知を受ける権利
• アクセス権
• 訂正権
• 削除権（忘れられる権利）
• 処理を制限する権利
• データ携行の権利（ポータビリティの権利）
• 処理に対して異議を述べる権利
• 自動処理による個人に関する決定の対象とならない権利

これらを遵守するために、例として以下のようなシステム設計や改修などの対応が必要になると考えられます。

1. 個人データを扱う可能性がある場合は、必ず強制しない形式で同意を取り、慎重に扱う
2. 個人データの提供を求められた際に備えて、速やかに提供するために情報を管理する
3. 個人データを十分な強度の鍵を使用して暗号化し、鍵を適切に管理する
4. 個人データの削除を求められた場合に備えて、確実にデータが削除されたことを証明できるように、システム構築時に考慮する
5. 個人データを扱う可能性があるすべてのシステムにおいて、個人データの漏えいを阻止するためのセキュリティ対策を一層強化する

これらの対策はごく一部であり、各企業や団体が置かれている立場や状況によって様々な対応が必要になると考えられます。

事業活動がグローバル化している昨今ではGDPRの理解が不可欠で、自組織に合った対応を計画的に進めてGDPRに遵守することが求められていると考えます。個人データを扱う企業や団体においては、これまで以上に個人データに対して配慮する必要があり、セキュリティ的な対策を含めた慎重な対応が必要とされています。