【約240億円の制裁金の事例あり】無視できない「GDPR」で抑えるべきポイントとは

欧州経済地域(EEA)圏内でビジネスを行う際、気をつけなければならないのが「GDPR」です。「世界で最も厳しい個人情報保護規則」ともいわれるGDPRは、ヨーロッパに暮らす人の個人情報を取り扱う際に遵守する必要があります。知らずに対策を怠っていると、大きな問題に発展する可能性もあるため注意しましょう。

この記事では、GDPRについての基本的な情報や、日本企業が気をつけるべきことと対策について解説します。

GDPRとは

GDPRとはGeneral Data Protection Regulationの略で、日本では「一般データ保護規則」と訳されます。欧州経済地域(EEA)に適用される法律で、2018年に施行されました。個人情報やプライバシーの保護に関して厳格に規定されており、EEAに所在する人の個人情報が保護対象です。

GDPRでは、専任の管理責任者を置くことや、情報漏洩が発生した場合は72時間以内に通報することなど、細かい規則が定められています。これに違反した場合、巨額の制裁金が科されることでも有名です。

例えば、2018年に重大なセキュリティインシデントを起こしたイギリスの大手航空会社は、日本円にして約240億円もの制裁金が科されました。

GDPRと個人情報保護法との違い

日本では、個人情報を守るための法律として「個人情報保護法」が定められています。個人情報を取り扱う民間事業者が遵守すべき義務が定められており、GDPRと同様の位置付けの法律です。

GDPRと個人情報保護法はどちらも個人情報を守るための法律ですが、いくつか異なる点があります。そのひとつが、保護対象とするデータの内容です。GDPRはWebブラウザに保存されるcookieも保護対象としていますが、個人情報保護法はcookieを保護対象とはしていません。(2021年4月現在)

また、これまでは罰則金の金額も大きく異なっていました。従来の個人情報保護法の罰則は「6ヶ月以下の懲役または30万円以下の罰金」とされており、GDPRに比べるとかなり少額です。

しかし、2020年6月に改正が決まった「改正個人情報保護法」において、2022年度春からは日本でも罰則金として最大1億円が科されることとなり、罰則金が大幅に増額されることになります。

日本企業でGDPR対策が必要なケースとは?

2019年に、EUと日本をまたぐ個人情報のやりとりにおいてGDPRの適用対象外とすると発表がありました。日本は個人情報データの保護水準が十分であるとして、EUから十分生認定を受けたということです。これにより、GDPRに準じた作業負担や制裁リスクが軽減されました。

ただし、次のようなケースでは日本企業でもGDPRが適用されるため、注意が必要です。

  • ・ EEAに子会社や支社がある
  • ・ 日本からEEAに商品やサービスを直接提供している
  • ・ EEAから個人データの処理を委託されている

日本企業がGDPR対策として押さえるべきポイント

GDPRと個人情報保護法には細かい相違点もありますが、基本的に押さえるべきポイントは国内のセキュリティ対策と大きくは変わりません。どんな場合でも個人情報の取り扱いは慎重に行うべきで、罰則の有無や制裁金の金額によって対応を変えて良いものではないからです。

個人情報や機密情報を取り扱う場合は十分に注意し、適切なセキュリティ対策を行いましょう。万が一個人情報の流出などが発生した場合、罰則を受けたり賠償金を請求されたりするだけではなく、社会的信用まで失ってしまいます。

GDPR対策の細かいポイントとしては、cookieの取り扱いです。EU現地向けのサイトや訪日中のEEA居住者向けサイトを運営する場合、cookie情報の収集について同意を得る必要があります。日本で運営するサイトでも、利用者がEEA居住者となる場合は注意しなければなりません。

海外展開ならではのセキュリティに関する課題

海外に拠点を持つ場合、GDPR対策だけでなく、その他セキュリティ対策全般にも気を配る必要があります。ここでは、海外展開をする企業ならではのセキュリティ課題について解説します。

限りある予算でセキュアなシステム環境を構築する必要がある

海外に支店などを出す場合、多くの費用がかかります。事務所の賃料や機材などの輸送費、市場調査やビザ発行にかかる費用など、さまざまな費用が必要です。それに加えて、海外拠点に個別でセキュリティ対策が施されたオンプレミス環境を構築しなければなりません。

予算が少ないからといって、システムのセキュリティ対策を怠るわけにはいきません。ほかの予算との兼ね合いも考えながら、セキュアなシステム環境を整える必要があります。

状況に合わせたスピーディな対応が困難

海外拠点に独自のシステムを構築する場合、容量の追加などがスピーディに行えないという課題もあります。海外に構築したオンプレミス環境のサーバースペックなどを拡張したい場合、ハードウェアの対応は現地で行わなければなりません。

必要な機材を日本から送るのか現地で調達するのか、現地のエンジニアを手配するのかなど、調整に時間がかかってしまう可能性があります。ビジネスの拡大に合わせて柔軟に対応したいと思っても、海外拠点の場合は状況に合わせたシステム拡張が困難なケースが少なくありません。

海外従業員による情報持ち出し

海外拠点の従業員の動向は、国内にいる管理者からはどうしても把握しづらくなります。海外拠点での仕事の持ち帰りや内部不正は、国内拠点よりも発見が遅れる可能性が高いでしょう。問題が発生して初めて気づくというパターンも考えられます。

また、会社側が把握していないサービスを従業員が勝手に使用するシャドーITも問題です。海外拠点で現地独自のサービスなどを勝手に使用されると、日本にいる管理者の手が届かないところに大切な情報が保存されてしまう可能性もあります。

ITリテラシーや文化の違い

国によって、ITリテラシーや文化は異なります。日本よりもITリテラシーが高い国もあれば、そうでない国もあるでしょう。もちろん、ITリテラシーは個人の問題でもあるため一律に語ることはできませんが、やはり海外展開を行う場合には課題となります。国内拠点ほど丁寧なセキュリティ教育が難しいため、現地任せにしていると思わぬセキュリティインシデントに見舞われる可能性があります

海外拠点とのセキュアなファイル共有方法が確立されていない

海外とファイル共有を行う場合、その手段を検討しなければなりません。日本企業の業務システムはサイバー攻撃対策として海外IPからの通信を遮断しているケースもありますが、ファイルサーバーなどを使って海外拠点とやりとりしたい場合は、海外IPを許可する必要があります。

しかし、海外IPを許可すると海外からの攻撃はもちろん、国内からの攻撃も海外サーバーを経由して行われることが少なくないため、多くの脅威にさらされます。セキュリティを保ちながら海外拠点とファイルを共有するには、これらの問題をクリアしなければなりません。

海外展開ならではのセキュリティに関する課題への対策

ここまでに紹介した課題を解消するためには、セキュリティの高いクラウドストレージの利用や、セキュリティポリシーの確立などが有効です。ここでは、それぞれの課題への対策について解説します。

ローコストで導入できるクラウドストレージ

予算がない中でセキュアなシステム環境を用意するには、クラウドストレージの導入が有効です。クラウドサービスなら自社で環境を構築する必要がないため、導入コストが抑えられます。セキュリティの高いサービスを選べば、セキュアな環境をすぐに使い始めることが可能です。

DirectCloud-BOXは、セキュリティの高いクラウドストレージです。デバイス認証やIPアドレス制限、ワンタイムパスワードによる不正ログイン防止、通信・データの暗号化、ウイルスチェックなど、あらゆるセキュリティ対策が具備されています。

また、クラウドストレージはサービス提供企業がメンテナンスを行うため、自社でシステムの管理を行う必要がありません。システムの脆弱性が放置されるようなこともないため、管理不要でセキュリティの高い環境を利用できます。

DirectCloud-BOXは柔軟な容量追加が可能

先述のDirectCloud-BOXは、容量の追加も柔軟に行えます。月額料金はストレージ容量によって決まっており、どのプランでもユーザー数は無制限です。そのため、国内・海外にかかわらず拠点の追加によって従業員が増えた場合でも、料金の増額はありません。

容量の追加が必要となった場合は、申請後5営業日以内に適用されます。オンプレミス環境で容量追加を行うよりも、簡単でスピーディに容量を追加できます。

情報の持ち出しを防止する機能の活用

DirectCloud-BOXは、ファイルの閲覧や編集はできるがダウンロードはできないアクセスレベル「編集者−」を設定することで、情報の持ち出しを防止することが可能です。そのほか、IPアドレス・デバイス単位でのアクセス制限や83種類の操作ログ取得機能により、内部不正による情報漏洩対策も行えます。

セキュリティポリシーの確立と海外従業員への教育

海外拠点でも国内と同様のセキュリティを保つためには、海外でのセキュリティリスクを鑑みたセキュリティポリシーを確立する必要があります。現地任せにせず、守るべきルールを明確にしておきましょう。海外従業員へのセキュリティ教育も必要です。現地の国民性や社会環境にも考慮したうえで、ルール化と教育を行わなければなりません。

セキュアなクラウドストレージでファイル共有

海外拠点とのファイル共有には、セキュアなクラウドストレージを利用するのがおすすめです。クラウドストレージはインターネット経由で利用するため、海外拠点からでも問題なく利用できます

先述のとおり、DirectCloud-Boxは国内外問わずセキュアにファイルの利活用ができるクラウドストレージです。海外からでも安全にファイルにアクセスできるため、海外拠点とのコラボレーションにも適しています。

まとめ

海外に拠点を作ったり海外ユーザーに向けてビジネスを展開したりする場合、考慮しなくてはいけない点が多くあります。GDPRもそのひとつで、EEAに向けてビジネス展開する場合は個人情報の取り扱いについてGDPRが適用されるため、対策が必要です。

DirectCloud-BOXは、海外拠点とのコラボレーションを実現できる高セキュリティのクラウドストレージです。柔軟に容量を追加でき、ユーザー数が無制限である点も、スピーディな対応が求められる海外展開に適しています。情報の持ち出し対策としても有効なため、海外とのファイル共有を検討している場合は、ぜひ一度下記資料をダウンロードください。

資料ダウンロード