2018年5月25日に「一般データ保護規則」いわゆるGDPRが施行になりました。
EEA(EUにノルウェー・アイスランド・リヒテンシュタインを加えた欧州経済領域)内のデータ保護に関する法律です。なんといっても驚くべきはその制裁金。なんと、最大で2000万ユーロ(26億円)か世界売上高の4%の「いずれか高い方」が上限となっています。
恐ろしいほどの金額ですが「うちは日本企業だしEEA内に支社もないから…」と他人事のように感じているのではないでしょうか? その油断が、命取りかもしれません。
そう、本当に他人事ではないんです。
今年の6月、フランスのホテル予約サイト「ファストブッキング」から大規模な情報流出があり、日本国内だけに限定してもプリンスホテルなど401ヶ所のホテルが持つ32万件以上の個人情報が流出しました。そして、これが原因で日本企業にGDPR違反の疑いが出ています。
「ファストブッキング」がGDPR違反ならわかるけど、なぜ日本企業も? むしろ被害者では? と思ってしまいますよね。
これまで私達が常識として考えてきた個人情報保護とはそこが大きな違いなのです。
これまで国内で大規模な情報流出があった際には、その発注主である大企業が「外注先のミス」と記者会見で弁明する姿が見られました。もちろん、発注主の責任もゼロではありませんが、大部分は外注先に責任があるというのがこれまでの風潮だったと思います。
ですが、GDPRでは管理者責任が強化され、仮に外注先(処理者)でのミスが原因で情報流出があったとしても、そのデータを委託している「管理者」もGDPR違反に問われます。
今回の事例で言えば、フランスの「ファストブッキング」という処理者を通じてEEA内の個人情報を受け取っていた日本のホテルが管理者としてGDPR違反の疑いをかけられているという状況です。
ただし、GDPRはデータ侵害が発覚して即、制裁金を課すものではありません。
まずは72時間以内に欧州の監督機関に報告する必要があります。その報告を受けて、
・管理者が情報漏えいリスクを認識して処理者にセキュリティ対策を指示していたか
・その指示は適切だったか
・指示の遵守を確認していたか
などを精査した上で「不十分だった」となれば制裁金が課される可能性があるのです。
つまり、データ漏えいという結果だけでなく、個人情報を扱う企業としてデータ保護を徹底していたかどうかを見られて制裁の有無が決定するのです。
とはいえ、問い合わせフォームやメールマガジン配信、名刺管理システムなど多くの外部システムを利用して個人情報を扱う今の企業にとって、外注先のデータ管理の状況まで把握できているかと問われると「事実上不可能」という場合がほとんどではないでしょうか。
GDPR対策にはまず「どこに・どんなデータが・どのように」保存されているのかを完璧に把握し、コントロールする必要があります。
もちろん多額の予算が必要になるので、GDPRの対象外であれば避けたい出費だとは思いますが、そもそも「対象外」の企業というのは存在するのでしょうか。
今回ニュースになったホテルなどの旅行業界を始め、訪日外国人を顧客とする企業は典型的な対象企業です。EEA内に支社を構える企業もまた、対象企業となります。また、ビジネスとしては小さくても越境ECやコミュニティサイトも対象になるのは頷けると思います。
しかし、これらの事業を行なっていなくても安心は禁物です。いま、事業にインターネットを活用していないという企業はほとんど存在しないのではないでしょうか。多言語対応のサイトを持っていなくても自動翻訳で世界中の人があなたの企業の情報を見ることができますし、メルマガの登録も可能です。また、展示会などでEEA内の来場者と名刺交換をし、それを名刺管理システムに登録するということもありえます。
つまり、GDPRはほとんどの企業が対象になりえるのです。
冒頭で述べたようにGDPR違反は多額の制裁金を課される可能性があるため、企業の存続に関わる危険をはらんでいます。
今回の事件を他山の石として、今一度、自社のサイトやサービスを見直すべきでしょう。場合によっては、EEA内の個人情報を破棄する、アクセスを遮断するといった「力技」の対策が必要になるかもしれません。
実際、アメリカのニュースサイトではGDPR対応が間に合わないという理由でEEA内からのアクセスを遮断するという混乱が生じたこともありました。
具体的な対策についてはジェトロ(日本貿易振興機構)が詳細なハンドブックを公開していますので、ぜひご一読を。
(塚岡雄太)
メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!