適用対象が大幅に拡大し罰則規定もあるGDPR、
2018年5月25日に施行される「EU一般データ保護規則(GDPR : General Data Protection Regulation)」。これはEU市民のデータプライバシーの保護・強化のため、1995年から適用されていた「EUデータ保護指令」に代わるものです。欧州委員会によって2012年に立案され、2016年4月に欧州議会で正式に採択されました。EUの法令は拘束力の強いものから「規則(Regulation)」「指令(Directive)」「決定(Decision)」「勧告(Recommendation)」「意見(Opinion)」の5段階で構成されており、「指令」から「規則」に名称が変わったことからも、その重要性が理解できるはずです。
このような「規則」が採択された背景には、従来のEUデータ保護指令には十分な強制力がなく、欧州各国で個別のデータ保護規則が制定されてしまい、一貫性を欠いていたという状況があります。国によって規則が異なれば抜け穴が生じる可能性があり、十分なプライバシー保護が実現できないという危惧があったのです。今回のGDPRの施行によって、欧州各国では特別に法規制を採択することなく、この規則が適用されることになります。
このようにGDPRによって、欧州域内における個人データの取り扱いが共通化され、個人データの「全部または一部が自動化された手段による処理」と「欧州域外への移転」に関して、厳しいルールが課せられることになります。
また個人データの処理に関して指定された条件に当てはまる組織には、データ保護責任者(DPO:Data Protection Officer)を置くことも要求されています。違反した場合の罰則も定められており、「全世界の年間売上高の4%もしくは2000万ユーロのどちらか高い方」を上限とする制裁金が課せられる可能性があります。
個人データの処理と移転に厳しいルール。
EU内に拠点を持たない日本企業も適用対象に
日本企業にとっては、さらに注目すべきポイントが2点あります。
第1は、GDPRの対象となる個人データの範囲です。これは「欧州経済領域(EEA:European Economic Area)に所在する個人のデータ」と定義されており、対象地域はEU加盟国に加え、EUに加盟していないアイスランド、ノルウェー、リヒテンシュタインが含まれます。また「所在」とは国籍の取得や居住を意味するのではなく、短期出張や短期旅行でEEA内に「所在」した場合も含まれると解釈されています。つまりEEA内を旅行している日本人にサービスを提供し、それに伴い個人情報の処理を行う場合も、GDPRの適用範囲となる可能性があるのです。
第2は、規則の適用対象となる組織が、EU域内に拠点を持つ企業だけに限られていないということです。EEA域内に所在する個人のデータを扱う場合には、その企業の拠点がEEA内に存在しない場合でも、適用対象となります。例えばEEA域内の個人がオンラインショッピングで日本企業から商品を購入した場合には、その日本企業もGDPRの対象になるわけです。EUデータ保護指令ではEU域内に拠点や設備(例えばデータセンターなど)を持つ企業が対象になっていたため、GDPRの施行はEU域外の企業にとって、極めて大きなインパクトをもたらすことになります。
クラウド利用で意図しない違反を引き起こす危険性も。
これを回避するには「CASB」の導入が不可欠
この原稿を執筆しているタイミングでは、まだGDPRの施行が開始されていないので、実際にどのような運用が行われるのかは不透明です。しかし多くの日本企業が、この規則の適用対象になり得る可能性があります。特に大きな盲点になると危惧されるのが、クラウドサービスの利用に伴い、GDPR違反が発生する危険性です。
クラウドサービスへのアクセスに伴うデータのやり取りも、当然ながら「データ移転」となります。例えば欧州に拠点を置くクラウドサービスに日本からアクセスし、そこに格納されている個人データをダウンロードした場合には、GDPRが定める要件を満たさなければ「違法なデータ移転」とみなされてしまいます。最近では複数のクラウドサービスを利用する企業も増えているため、意図せずにGDPR違反を引き起こすリスクも高くなっているといえます。
このような問題を回避するには、まず社内でどのようなクラウドサービスを利用しているのかを可視化し、必要に応じてアクセス制限できる仕組みが必要です。そのためにぜひ活用したいのが「CASB(Cloud Access Security Broker、キャスビー)」と呼ばれるソリューションです。
CASBとは・・・
CASBとは2012年に米ガートナーが提唱したものであり、その基本的な考え方は「ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを適用できるようにする」というものです。
ガートナーによれば、CASBには大きく4つの機能があります。社内ユーザーがどのクラウドサービスを使っているのかを監視する「可視化」、アクセス権限の違反や機密情報の持ち出しを検知・防止する「データセキュリティ」、セキュリティ監査を行う「コンプライアンス」、そしてセキュリティ脅威の検出/分析/防御を行う「脅威防御」です。これらをシングルポイントで行うことで、社内ユーザーがどのクラウドサービスを利用しているのかが把握できるようになり、必要に応じてデータ移転を制限することが可能になります。また適切な運用が行われていることを、明確な形で社外に提示することも容易になります。
CASBの導入で注意すべきポイントは、漏れのない管理をどう実現するかです。このような仕組みを導入しても、抜け道ができてしまえば意味がありません。そこでおすすめしたいのが、2012年に創業したNetskope社が開発した「Netskope」というソリューションです。
その最大の特長は、幅広いデバイスとクラウドサービスへの対応です。
また、ネットワークの構成を変更することでユーザーからのアクセスをすべて特定の場所に集約する「ゲートウェイ型」、各デバイスに専用ソフトウェアを導入することでネットワークの構成の構成を変更せず情報収集や制御を行う「エージェント型」、クラウドサービスのAPIを通じて情報収集や制御を行う「API型」といった、複数のアーキテクチャに対応している点も重要なポイントです。そのため監視と制御を、例外なく実施することが容易なのです。
これによりユーザーがクラウドサービスにアップロードしようとしているファイルにEUで個人情報と定義されている情報が含まれているかどうかを余さずチェックし、含まれている場合はアップロードを禁止するなどのアクションも可能です。その際に送信先の国も判別できるのでEU圏への通信をブロックするなどの制御もできます。 また、Nestkopeでは企業が利用をしているもしくは利用を検討しているクラウドサービスがGDPRに対応しているか否かを判別できるCCI(Cloud Confident Index)という辞書機能も持っています。
企業がGDPRに対応するには、他にも取り組むべきことは数多くあります。しかしまずはデータの所在とそれらへのアクセス状況を可視化し、必要に応じて制限をかけられる仕組みを確立することが、第一歩だといえるでしょう。