欧州経済地域(EEA)圏内でビジネスを行う際、気をつけなければならないのが「GDPR」です。
「世界で最も厳しい個人情報保護規則」ともいわれるGDPRは、ヨーロッパに暮らす人の個人情報を取り扱う際に遵守する必要があります。
知らずに対策を怠っていると、大きな問題に発展する可能性もあるため注意しましょう。
この記事では、GDPRについての基本的な情報や、日本企業が気をつけるべきことと対策について解説します。
目次- 1. GDPRとは
- 2. GDPRと個人情報保護法との違い
- 3. 日本企業でGDPR対策が必要なケースとは?
- 4. 日本企業がGDPR対策として押さえるべきポイント
- 5. 海外展開ならではのセキュリティに関する課題
- 6. 海外展開ならではのセキュリティに関する課題への対策
- 7. まとめ
NAS・ファイルサーバーの
クラウド移行サービス説明書
- NAS/ファイルサーバーのクラウド移行をご検討の方におすすめ。
- ファイルサーバーを超えた厳格な管理機能をクラウドで実現。
各機能やオプション、導入事例、他社比較など、ボリュームたっぷりの内容。
NAS・ファイルサーバーの
クラウド移行サービス説明書
- NAS/ファイルサーバーのクラウド移行をご検討の方におすすめ。
- ファイルサーバーを超えた厳格な管理機能をクラウドで実現。
各機能やオプション、導入事例、他社比較など、ボリュームたっぷりの内容。
GDPRとは
GDPRとはGeneral Data Protection Regulationの略で、日本では「一般データ保護規則」と訳されます。
欧州経済地域(EEA)に適用される法律で、2018年に施行されました。
個人情報やプライバシーの保護に関して厳格に規定されており、EEAに所在する人の個人情報が保護対象です。
GDPRでは、専任の管理責任者を置くことや、情報漏洩が発生した場合は72時間以内に通報することなど、細かい規則が定められています。
これに違反した場合、巨額の制裁金が科されることでも有名です。
例えば、2018年に重大なセキュリティインシデントを起こしたイギリスの大手航空会社は、日本円にして約240億円もの制裁金が科されました。
GDPRで保護される「個人データ」とは
GDPRの第4条では、保護する個人データの定義が示されています。
- 個人データの定義
- 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。 引用元:個人情報保護委員会 一般データ保護規則(GDPR)の条文
上記の条文をもう少し噛み砕くと、個人データには以下のものが該当します。
| 分類 | 詳細 |
| 個人の氏名 | ・顧客名簿 ・従業員の名簿 ・株主名簿 |
| 識別番号 | ・旅券番号 ・運転免許証 ・指紋認識データ ・顔認証データ ・クレジットカード情報 ・住所 / 電話番号 / メールアドレス |
| 位置データ | ・GPSデータ ・基地局データ |
| オンライン識別子 | ・IPアドレス ・Cookieデータ |
| 分類 | 個人の氏名 |
| 詳細 |
・顧客名簿 ・従業員の名簿 ・株主名簿 |
| 分類 | 識別番号 |
| 詳細 |
・旅券番号 ・運転免許証 ・指紋認識データ ・顔認証データ ・クレジットカード情報 ・住所 / 電話番号 / メールアドレス |
| 分類 | 位置データ |
| 詳細 |
・GPSデータ ・基地局データ |
| 分類 | オンライン識別子 |
| 詳細 |
・IPアドレス ・Cookieデータ |
GDPRと個人情報保護法との違い
日本では、個人情報の保護を目的とした「個人情報保護法」が定められています。
個人情報を取り扱う民間事業者が遵守すべき義務が定められており、GDPRと同様の位置付けの法律です。
GDPRと個人情報保護法はどちらも個人情報を守るための法律ですが、いくつか異なる点があります。
そのひとつが、保護対象とするデータの内容です。
GDPRはWebブラウザに保存されるcookieも保護対象としていますが、個人情報保護法はcookieを保護対象とはしていません(2021年4月現在)。
また、これまでは罰則金の金額も大きく異なっていました。
従来の個人情報保護法の罰則は「6ヶ月以下の懲役または30万円以下の罰金」とされており、GDPRに比べるとかなり少額です。
しかし、2020年6月に改正が決まった「改正個人情報保護法」において、2022年度春からは日本でも1億円以下の罰金(法人の両罰規定)が科される可能性があります。
日本企業でGDPR対策が必要なケースとは?
2019年に、EUと日本をまたぐ個人情報のやりとりにおいてGDPRの適用対象外とすると発表がありました。
日本は個人情報データの保護水準が十分であるとして、EUから十分性認定(GDPR第45条)を受けたということです。
これにより、GDPRに準じた作業負担や制裁リスクが軽減されました。
ただし、次のようなケースでは日本企業でもGDPRが適用されるため、注意が必要です。
- ・ EEAに子会社や支社がある(「管理者」に該当)
- ・ EEAから個人データの処理を委託されている(「処理者」に該当)
- ・ 日本からEEAに商品やサービスを直接提供している
日本企業がGDPR対策として押さえるべきポイント
GDPRと個人情報保護法には細かい相違点もありますが、基本的に押さえるべきポイントは国内のセキュリティ対策と大きくは変わりません。
どんな場合でも個人情報の取り扱いは慎重に行うべきで、罰則の有無や制裁金の金額によって対応を変えてよいものではないからです。
個人情報や機密情報を取り扱う場合は十分に注意し、適切なセキュリティ対策を行いましょう。
万が一個人情報の流出などが発生した場合、罰則を受けたり賠償金を請求されたりするだけではなく、社会的信用まで失ってしまいます。
また、GDPR対策の細かいポイントとしては、cookieの取り扱いです。
EU現地向けのサイトや訪日中のEEA居住者向けサイトを運営する場合、cookie情報の収集について同意を得る必要があります。
日本で運営するサイトでも、利用者がEEA居住者となる場合は注意しなければなりません。
海外展開ならではのセキュリティに関する課題
海外に拠点を持つ場合、GDPR対策だけでなく、その他のセキュリティ対策全般にも気を配る必要があります。
ここでは、海外展開をする企業ならではのセキュリティ課題について解説します。
限りある予算でセキュアなシステム環境を構築する必要がある
海外に支店などを出す場合、多くの費用がかかります。
事務所の賃料や機材などの輸送費、市場調査やビザ発行にかかる費用など、さまざまな費用が必要です。
それに加えて、海外拠点に個別でセキュリティ対策が施されたオンプレミス環境を構築しなければなりません。
予算が少ないからといって、システムのセキュリティ対策を怠るわけにはいきません。
ほかの予算との兼ね合いも考えながら、セキュアなシステム環境を整える必要があります。
状況に合わせたスピーディな対応が困難
海外拠点に独自のシステムを構築する場合、容量の追加などがスピーディに行えないという課題もあります。
海外に構築したオンプレミス環境のサーバースペックなどを拡張したい場合、ハードウェアの対応は現地で行わなければなりません。
必要な機材を日本から送るのか現地で調達するのか、現地のエンジニアを手配するのかなど、調整に時間がかかってしまう可能性があります。
ビジネスの拡大に合わせて柔軟に対応したいと思っても、海外拠点の場合は状況に合わせたシステム拡張が困難なケースが少なくありません。
海外従業員による情報持ち出し
海外拠点の従業員の動向は、国内にいる管理者からはどうしても把握しづらくなります。海外拠点での仕事の持ち帰りや内部不正は、国内拠点よりも発見が遅れる可能性が高いでしょう。
問題が発生して初めて気づくというパターンも考えられます。
また、会社側が把握していないサービスを従業員が勝手に使用するシャドーITも問題です。
海外拠点で現地独自のサービスなどを勝手に使用されると、日本にいる管理者の手が届かないところに大切な情報が保存されてしまう可能性もあります。
ITリテラシーや文化の違い
国によって、ITリテラシーや文化は異なります。
日本よりもITリテラシーが高い国もあれば、そうでない国もあるでしょう。
もちろん、ITリテラシーは個人の問題でもあるため一律に語ることはできませんが、やはり海外展開を行う場合には課題となります。
国内拠点ほど丁寧なセキュリティ教育が難しいため、現地任せにしていると思わぬセキュリティインシデントに見舞われる可能性があります。
海外拠点とのセキュアなファイル共有方法が確立されていない
海外とファイル共有を行う場合、その手段を検討しなければなりません。
日本企業の業務システムはサイバー攻撃対策として海外IPからの通信を遮断しているケースもありますが、ファイルサーバーなどを使って海外拠点とやりとりしたい場合は、海外IPを許可する必要があります。
しかし、海外IPを許可すると海外からの攻撃はもちろん、国内からの攻撃も海外サーバーを経由して行われることが少なくないため、多くの脅威にさらされます。
セキュリティを保ちながら海外拠点とファイルを共有するには、これらの問題をクリアしなければなりません。
海外展開ならではのセキュリティに関する課題への対策
ここまでに紹介した課題を解消するためには、セキュリティの高いクラウドストレージの利用や、セキュリティポリシーの確立などが有効です。
ここでは、それぞれの課題への対策について解説します。
ローコストで導入できるクラウドストレージ
予算がない中でセキュアなシステム環境を用意するには、クラウドストレージの導入が有効です。
クラウドサービスなら自社で環境を構築する必要がないため、導入コストが抑えられます。
セキュリティの高いサービスを選べば、セキュアな環境をすぐに使い始めることが可能です。
DirectCloudは、セキュリティの高いクラウドストレージです。
デバイス認証やIPアドレス制限、ワンタイムパスワードによる不正ログイン防止、通信・データの暗号化、ウイルスチェックなど、あらゆるセキュリティ対策が具備されています。
また、クラウドストレージはサービス提供企業がメンテナンスを行うため、自社でシステムの管理を行う必要がありません。
システムの脆弱性が放置されるようなこともないため、管理不要でセキュリティの高い環境を利用できます。
DirectCloudは柔軟な容量追加が可能
先述のDirectCloudは、容量の追加も柔軟に行えます。
月額料金はストレージ容量によって決まっており、どのプランでもユーザー数は無制限です。
そのため、国内・海外にかかわらず拠点の追加によって従業員が増えた場合でも、料金の増額はありません。
容量の追加が必要となった場合は、申請後5営業日以内に適用されます。
オンプレミス環境で容量追加を行うよりも、簡単でスピーディに容量を追加できます。
情報の持ち出しを防止する機能の活用
DirectCloudは、ファイルの閲覧や編集はできるがダウンロードはできないアクセスレベル「編集者−」を設定することで、情報の持ち出しを防止することが可能です。
その他、IPアドレス・デバイス単位でのアクセス制限や114種類の管理者操作ログ取得機能により、内部不正による情報漏洩対策も行えます。
セキュリティポリシーの確立と海外従業員への教育
海外拠点でも国内と同様のセキュリティを保つためには、海外でのセキュリティリスクを鑑みたセキュリティポリシーを確立する必要があります。
現地任せにせず、守るべきルールを明確にしておきましょう。
海外従業員へのセキュリティ教育も必要です。
現地の国民性や社会環境にも考慮したうえで、ルール化と教育を行わなければなりません。
海外拠点とのファイル共有には、セキュアなクラウドストレージを利用するのがおすすめです。
クラウドストレージはインターネット経由で利用するため、海外拠点からでも問題なく利用できます。
そして、DirectCloudは国内外問わずセキュアにファイルの利活用ができるクラウドストレージです。
海外からでも安全にファイルにアクセスできるため、海外拠点とのコラボレーションにも適しています。
■事例の詳細はこちら
株式会社ユニヴァ・コーポレーション
まとめ
海外に拠点を作ったり海外ユーザーに向けてビジネスを展開したりする場合、考慮しなくてはいけない点が多くあります。
GDPRもその1つで、EEAに向けてビジネス展開する場合は個人情報の取り扱いについてGDPRが適用されるため、対策が必要です。
DirectCloudは、海外拠点とのコラボレーションを実現できる高セキュリティのクラウドストレージです。
柔軟に容量を追加でき、ユーザー数が無制限である点も、スピーディな対応が求められる海外展開に適しています。
情報の持ち出し対策としても有効なため、海外とのファイル共有を検討している場合は、ぜひ一度下記資料をダウンロードください。
NAS・ファイルサーバーの
クラウド移行サービス説明書
- NAS/ファイルサーバーのクラウド移行をご検討の方におすすめ。
- ファイルサーバーを超えた厳格な管理機能をクラウドで実現。
各機能やオプション、導入事例、他社比較など、ボリュームたっぷりの内容。
NAS・ファイルサーバーの
クラウド移行サービス説明書
- NAS/ファイルサーバーのクラウド移行をご検討の方におすすめ。
- ファイルサーバーを超えた厳格な管理機能をクラウドで実現。
各機能やオプション、導入事例、他社比較など、ボリュームたっぷりの内容。
