GDPRの動向と最近の事情(1)(2018.9)

2018/09/19 / 総合研究部 上級研究員/部長補佐 佐藤 栄俊 プリント

1.GDPRの動向と最近の事情

 欧州連合(EU)を含む欧州経済地域(EEA)でGDPR(General Data Protection Regulation:一般データ保護規則)が施行され、約4ヶ月が経ちました。

 各企業の取り組みとしては、施行されてから未だに様子見の印象がありますが、そろそろ本腰を入れて対策を検討する必要があるのではないでしょうか。GDPRでは、その対応において具体的かつ詳細な要求項目を定めているわけではなく、あくまで個人データやプライバシーの保護に関する"基本的"な取り組みを求めているに過ぎないと言いつつも、ただ、この点が日本企業におけるGDPR対応の難しさになっているようです。

 また、GDPRの条文は長大で複雑ということもあって、すべてを咀嚼して対策に落とすことは容易ではありません。まずは、GDPRの施行に至った背景を復習しながら、まずは"考え方"を押さえておくことが、これから本格的な取組みを進める企業にとっても、対策を見直すという企業にとっても、決して遠回りではないはずです。

 今回からの「情報セキュリティトピックス」では、最近の事情なども踏まえて、GDPRのあらましや対策について数回にわたり整理していきたいと思います。

【参考資料】

▼個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)

▼JIPDEC(一般財団法人日本情報経済社会推進協会)「EU一般データ保護規則(仮訳)について」

▼JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)
 JETRO「データ保護影響評価(DPIA)の実施に関するガイドライン(仮訳)」
 JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)



1.GDPRの経緯

 GDPRは、EU(欧州連合)が2018年5月に発効した個人情報保護に関する規則です。GDPRの特徴は欧州で伝統的に築かれてきた文化とも言える「人権」意識を重視している点にあります。個人に関する情報やプライバシーを保護するための「規制」という点では、日本にも個人情報保護法がありますが、GDPRは「人権」という基本的な権利を守ることを強く意識したものであり、「規制」に対する感覚が大きく異なる点に注意が必要です。

 というのも、欧州の長い歴史では、時の権力者が市民の生命や権利を脅かし、これに対抗する運動が繰り返されてきたことから、「人権」に対する意識は"文化"とも言えるものだとされています。

 20世紀前半、ドイツやイタリアなど欧州の全体主義的体制による国家権力が市民の私的領域に無制限に踏み込んだ歴史があります。国家社会主義ドイツ労働者党政権が1939年に実施した「国勢調査」では国民の宗教と民族的出自に関するデータが収集され、ホロコーストの基礎データとなったとされています。

 これを教訓に、戦後の欧州では権力によるプライバシーへの侵害をチェックして抑制しなければならないというプライバシー権の基本思想が確立されました。このような基本思想が1950年に欧州人権条約として規範化されたのです。

 欧州人権条約の8条は「何人も私的生活、家族生活、住居及び通信を尊重される権利があり、国家は原則としてこのようなプライバシー権の行使を妨げてはならない」と規定しています。

 同条約はEU全加盟国のほか、旧ユーゴスラビア諸国やロシア、ウクライナ、トルコを含む47カ国で批准され、同条約に基づく欧州人権裁判所の判決は締約国に対して拘束力があります。

 EUの最高司法機関である欧州司法裁判所(CJEU)も法令審査において同条約を参照しています。したがってEU加盟国の政府は同条約に違背する法律を制定したり、政策を実施したりすることはできません。また、リスボン条約により、欧州人権条約の基本思想を引き継ぐ2000年の欧州連合基本権憲章がEU基本条約と同等の地位を持つ最高法規とされました。

 これにより、欧州人権条約第8条のプライバシー権に関する規定は最新のGDPRに至るまで、EUとEU加盟国における個人データ保護に関するすべての根幹であり続けているのです。

 GDPRは昨今のデジタル社会においても個人の権利が侵害されないよう、これまで国ごとにまちまちだった人権保護のためのルールを欧州全体のものと共通化し、権利の侵害につながる行為に対して厳しく対応する姿勢を示したものとも言えます。

 インターネット上に書き込まれた情報の削除を要請する権利、いわゆる"忘れられる権利"を立法化する動きはフランスが発信地であり、人権尊重、個人情報の保護に関しては、ヨーロッパは先進地です。個人情報保護の分野では、インターネットが身近なメディアになる前の1995年には、「EUデータ保護指令」が発令されています。

 1995年以降の20年あまりで、メディアという視点では、世界は大きく変化しました。オンラインショッピングやWeb予約サービス、ネットバンキングなど、誰しもが情報の発信者になれるSNSがすっかり浸透し、企業や団体が個人情報を扱う機会は激増しています。

 もう一つの側面は、個人情報のビジネス利用の拡大です。サイトに会員登録してある居住地や年齢などの属性、Webの閲覧履歴といったデータをもとに、企業が適切な広告を出したり、マーケティングに活かしたりといった活動をすることは当たり前になりました。しかし、こうした形で自分の情報がいつ・どこで・誰に・利用されていることに気づいていない、もしくは認識していない人がほとんどです。

 このような環境の変化のなかで、「EUデータ保護指令」に代わる新しい法体系の必要性が欧州で認識されるようになりました。また、「EUデータ保護指令」は加盟各国が独自の法制度を敷いたため、国によって個人情報の扱い方のルールが異なるという課題も生じていました。そこでEU全体の統一的な規則として整備されたのがGDPRなのです。

 このようにGDPRに対応する本質的な意義は、あらゆるステークスホルダーを通じて「人権」を保護することであり、単に規制当局の要求事項を順守すれば良いといったものではなく、その目的は、EEAの個人に関するデータやプライバシーの保護になります。

 折しもGDPRの施行直前に、米Facebookにおける利用者情報の不適切な利用が大きな問題として取り上げられ、インターネット企業を中心とするビジネスでの安易な個人ビッグデータ利用に批判が集まりましたが、欧州ではこれを権利侵害として、より厳しく捉える向きにあります。確かに、米Facebookの大量の個人情報が不正に流用された問題は、データを預けるリスクを利用者に改めて知らしめた問題です。この一件は単なるデータ流出ということだけではなく、膨大なデータを売って稼ぐビジネスモデルの安全性と透明性が問題視されており、例えば政治目的を伏せながら利用者を情報操作する目的で広告宣伝し、知らぬ間に意思決定に影響されるようなことがあってはなりません。これは日本でも同様であり、ネット各社も利用者の同意を得た上で、趣味や購買履歴などのデータを第三者に提供することもあると利用規約に明記しているものの、ネット利用者の大部分はそれを知りません。事業者による、預けた情報の倫理的で透明な利用については、その不安を払しょくする「保護」の要請を十分に満たすことが個人データを有効活用するうえでの大前提となることが問われているということなのです。


2.個人データとは?

 GDPRでいうところの「個人データ(personal data)」は何を指すのでしょうか。本人を特定できる氏名や自宅住所等の個人データが保護の対象であることは容易に想像つきますが、GDPRではさらに広範な個人データが保護の対象となります。GDPR第4条で個人データは「識別された、または識別され得る自然人に関する、あらゆる情報」と定義されています。ここで「識別され得る自然人」とは、当該自然人の氏名、識別番号、所在地データ、オンライン識別子又は身体的・生理的・遺伝子的・精神的・経済的・文化的・社会的固有性などの中から、いずれかによって、直接又は間接的に識別される個人のことを言います。もう少しかみ砕くと、様々なデータの組み合わせで個人が最終的に特定できるのであれば、すべて個人データとみなされるという、とても広範な定義がなされているのです。

 例として以下の要素が挙げられます。例えば、位置情報やIPアドレス、Cookieなどは、何らかの方法で氏名などと照合しない限り個人の特定はできませんが、個人と結びつく可能性があるデータは個人情報に含まれます。GDPRが制定された背景として、"個人情報のビジネス利用の拡大"に触れましたが、位置情報やWebの閲覧記録、カードの決済履歴などのデータが、広告などに使われることについて、GDPRにはこのような情報をコントロールする権利を、市民の側に取り戻すという狙いがあります。また、GDPRではIPアドレスやcookieといった情報が「オンライン識別子」と定義されているなど、個人データの概念という点では個人情報保護法よりも対象と"なり得る"範囲が広く、「どの情報がGDPRの対象になるのか分からない」ことが対応する際の困難な理由の一つであり、今後の情勢やGDPRの運用状況によって移り変わることが前提に、継続的に注視する必要があります。


【個人データの種類】

 ・ 個人の属性
  住所、氏名、生年月日、性別

 ・ 個人の特定に結びつくデータ
  マイナンバー、クレジットカード番号、パスポート情報、電話番号、従業員番号、各種サービスID、位置情報、
  IPアドレス、Cookie(Webサイトでユーザー識別などに使うデータ)、
  身体的、遺伝的、経済的、文化的などの要素に関して固有性を持つ情報、など。


【保護対象となる範囲】

 ・ 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合

 ・ 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)

 ・ 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)

 ・ 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

 


3.GDPRの骨子

 GDPRの骨子をおおまかに示すと、"EUが定めた個人情報の「移転」と「処理」に関する取り決め"です。対象地域は、EU加盟店28カ国にノルウェー、リヒテンシュタイン、アイスランドを加えた「EEA:欧州経済領域」です。

 「移転」とは、EEA域内で取得した個人情報を外に持ち出すことで、原則的に禁止されています。例えば、域内にある支社が業務で得た市民の個人情報を、日本の本社に送ることも「移転」と見なされます。

 「移転」基本的な考え方として、「EEA内の個人データをEEA外になんらかの形式で移動する」といったものであると解されます。


【個人データの移転(例)】

 ・ EEA内から個人データを含んだ電子形式の文書を電子メールで EEA 外に送付する

 ・ EEA内の子会社から従業員個人データをEEA外の親会社に移転する

 ・ EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する


 「処理」は、メールアドレスの収集、顧客データベースの作成、個人の属性に応じたグループ化、購買履歴の参照など、いわゆる「データ処理」から連想されるさまざまな局面が含まれます。

 企業や団体が個人情報を扱う際は、"個人情報の収集や処理には個人の同意が必要""個人情報の取得目的が明白になっている""要請に応じて削除できる"などの要件が定められています。

 GDPR施行時に早速Facebook(Instagram、WhatsApp含む3件)とGoogle(Android)4社が、プライバシー保護団体から提訴されましたが、これは各社の個人情報の扱いに関するもので、"個人情報の収集や処理には個人の同意が必要"という取り決めに対する4社の解釈に問題があるとしたものです。

    ※ いわゆるGAFA(Google、Amazon、Facebook、Apple)などサービスが普及し、プラットフォーム化が進むことにより、個人は無償のサービスの便益の代償として自らのデータを差し出す形になりました。欧州のGDPR(一般データ保護規則)が生まれてきた背景には、このような個人データの収集への警戒から「データの主権を個人に取り戻す」という理念があります。GDPRが米国に独占を許している事態を打開するために取られた措置であることは否めません。いわば米国の情報独占から欧州市場を守るための障壁という部分も多分にあると言えるでしょう。

 GDPRでの処理(Processing)の定義とは以下のようになっています。

 「処理とは、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいう。この作業は、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することをいう。」(GDPR 第4条(2))

 個人情報保護のプロセスでよく定義される、取得、利用、提供、保管などに加え、参照、構造化、整列、結合といった内容まで含まれており、幅広い事項で定義されています。様々なケースが考えられますが、シンプルに「移転以外の個人データに係る何らかの処理」というようなイメージすると良いかと思われます。


【個人データの処理(例)】

 ・クレジットカード情報の保存

 ・メールアドレスの収集

 ・顧客の連絡先詳細の変更

 ・顧客の名前の開示

 ・上長の従業員業務評価の閲覧

 ・データ主体のオンライン識別子の削除

 ・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成



4.GDPRと日本企業の接点

 GDPRの対象は、EEA域内に居住する市民の個人情報を扱う企業や団体です。事業者の規模は問いません。具体的には、以下のような形態が含まれます。

 ・ EEA域内で活動する企業、団体

 ・ EEA域内の市民に商品、サービスを提供している企業、団体

 ・ EEA域内の企業、団体と業務上の接点を持ち、個人情報を扱う事業者


 域内に拠点はなくとも、商品やサービスを提供する企業や、域内の会社と業務上の接点があり、個人情報を扱う事業者は対象です。この条件には、多くの日本企業が含まれるのではないでしょうか。

 例えば、オンラインショッピングやオンラインゲームなどで、個人情報を取得する企業、EEAからの旅行者を受け入れるため個人情報を入手する宿泊施設なども、"個人情報の取得目的が明白になっている"など、前述したような要件が適用されることになります。

 EEA市民の個人情報は、社内利用であっても原則的に「移転」は認められませんが、"EEA域内と同等の情報保護体制が整っている"と認定を受けた地域は、従来通り移転が可能です。

 この認定を「十分性認定」と言い、9月5日、欧州委員会は、EU域内の個人データの域外持ち出しを例外的に認める移転先として日本を承認する手続きに入ったとしており、年末までに正式に承認される見通しです。

 「十分性認定」を受けているのは、スイスやイスラエル、ニュージーランドなど11の国と地域(2018年6月現在)で、認定がない地域へ個人情報を移転するルールとして、以下が定められています。


 ・ SCC(Standard Contractual Clauses)

 個人情報を移転する組織間で、案件単位で契約を結ぶ。適用する組織は、契約の履行に則した情報保護の体制が整備されていることが前提。


 ・ BCR(Binding Corporate Rules)

 企業グループなどの単位で移転する際の契約形態。定められた規則に沿った契約内容を文書化し、EEAが認定したデータ保護機関(後述)から承認を得た上で移転が可能。


 ※ 十分性認定が合意後も留意が必要

 日本とEUの間で移転に関する合意が形成されれば、日本企業の負担は大幅に減るはずです。ただ、認定が下りたとしてもSSCとBCRが完全に必要なくなるというわけではありません。例えば、SSCの契約を交わしている場合、日本とEEA以外の国の企業が含まれているとしたら、従来の方法を踏襲すべきでしょう。認定は日本とEUの間ですから、それ以外の地域が入れば、SSCに則ったデータの移転が必要になるからです。もっとも、「十分性認定」を日本が受けたとしても、手続が一部免除されるだけで、GDPRが適用されるかどうかとは別問題となります。

 十分性認定は、所定の契約書を作成したりすることから開放されるだけで、GDPR対応している企業の負担が一部軽減されるだけであり、GDPRの適用を受けなくなるというのは大きな誤解です。



5.国内で留意すべきポイント

 企業が取り組むことは、まず自社の情報管理の実態把握です。どのような場合に、どのような個人情報を集めているのかを整理し、以下のような要素をまずは明確にする必要があります。

 -個人情報を、どのような場合に、何のために収集するのか
 -個人情報の保存場所と期間
 -個人情報の削除要請に対する基準や方法
 -個人情報を共有する事業者

 また、EU域外にある日本企業のGDPRへの対応としては、まずは「日本の個人情報保護法を守る」ことが重要です。2017年に改正された日本の個人情報保護法では、GDPRの内容が多分に加味されており、まずは、国内法の定める個人情報保護体制を確立することがGDPR準拠の第一歩となります。

 その上で、企業はGDPR対応を進めるために、どのような個人データの取り扱いがあるかを可視化し、整理することが大事です。そして、組織の整備や業務プロセスの把握、対象データの確認、システム(セキュリティ対策)、グローバル拠点での対応などを包括的に進めていく必要があります。GDPR対応の基盤となるものは、言うまでもなく個人情報管理と情報セキュリティ対策の強化です。基礎的な安全対策が疎かになっては、プライバシーポリシーの改定や事故時の連絡体制の強化を図ったとしても、意味をなしません。

 まずは、もう一度、どこにどれだけ個人情報を保有しているのか個人情報の棚卸を行い、現状を把握することから始めてはいかがでしょうか。他部門・他拠点を含め棚卸をすることによって、これまで把握していなかった情報や管理実態が把握できることもあります。

 特に、グローバルにビジネスを展開する企業は、現地と日本本社との間で課題認識を共有し、GDPRをはじめとする各国の個人情報保護規制への対応を進めていくことが求められます。


GDPR

改正個人情報保護法

個人情報の定義


「個人データ」は、識別されたまたは識別可能な自然人(データ主体)に関するすべての情報を意味する。
識別可能な自然人とは、特に、識別子(名前、識別番号、位置データ、オンライン識別子といったもの)を参照するか、または当該自然人の一意性(身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的なもの)に固有な1つ以上の指標を参照することで、直接的または間接的に、識別ができる者をいう。
(GDPR第4条 1項)


以下が個人データになります。

  1. 氏名/
  2. 個人識別番号
  3. 位置情報
  4. オンライン識別子
  5. 当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素
※国内法では明記されていない、オンライン識別子(IPアドレスやCookie、RFIDなど)も含まれています。
 また、照合しないと個人が特定できないようなもの(IDなど)も対象となるので注意が必要です。
 履歴データも、個人名が含まれない場合でも個人情報に該当します。

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(第2条1項)


国内法でいう、個人を識別することができるものは、以下のような情報を指します。

  • 顔画像データ
  • 認証用指紋データ
  • 個人番号(マイナンバー)
  • 運転免許証番号
  • パスポート番号
  • 基礎年金番号
  • 保険証番号

特定の個人の身体的特徴を変換したもの(例:顔認識データ)等が、個人情報として明確化されました。

要配慮個人情報

人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの取扱いは禁止する。
(GDPR第9条)



センシティブデータは、データ主体が明示的な同意を与えた場合など以外は、原則として取扱いが禁止されています。

本人に対する不当な差別又は偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。
(改正法第2条3項)



改正法では、個人情報のうち本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに配慮を要するものを新たに「要配慮個人情報」として定めました。
「人種」「信条」「社会的身分」「病歴」「犯罪の経歴」「犯罪により害を被った事実」などがこれにあたります。

匿名化/仮名化/匿名加工情報

・匿名化
データ主体がもはや識別可能でない仕方で匿名化されたデータには、データ保護の諸原則は、適用されるべきではない
(GDPR前文26条)

・仮名化
「仮名化」とは、追加情報を使用せずに個人データを特定のデータ対象に帰属させることができないような方法で個人データを処理することを意味する。ただし、当該追加の情報が別個に保管され、個人データが特定のまたは特定可能な自然人に連結しないことを確保する技術的および組織的な措置が講じられることを条件とする
(GDPR第4条)



匿名化されたデータに関しては、個人データに該当しません。
仮名化データ(暗号化データなど)は、個人データになります。
個人情報を加工しても、復元する方法があれば、匿名化とはいえません。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
(改正法第2条9項)




改正法で、「匿名加工情報」という概念が創設されました。
★匿名加工情報:もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにした情報。
匿名加工情報は個人情報には該当しないので、本人の同意なしで第三者提供が可能です。ですから、企業は匿名加工情報をもとに、ビッグデータの利活用に向けた取り組みを促進することができるようになりました。

適用範囲/域外適用

本規則は、EU 域内に拠点のない管理者又は取扱者によるEU 在住のデータ主体の個人データの取扱いに適用される。
(a) EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
(b) EU 域内で行われるデータ主体の行動の監視に関する取扱い。
(GDPR第3条)



EU内に拠点を有する企業だけでなく、以下のような場合にも適用されるので、適用範囲が広いです。
・EU内の個人に対して商品やサービスを提供しているEU外の企業(有償・無償を問わない)
・またはEU内における個人の行動の監視(モニタリング)を行っているEU外の企業

  • 国境を越えた適用と外国執行当局への情報提供 
    日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則
    適用。また、執行に際して外国執行当局への情報提供を可能とする。
    (改正法第75条、第78条)
  •   
  • 外国事業者への第三者提供
    個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人
    同意により外国への第三者提供が可能。
    (改正法第24条)


    改正法で、国境を越えて個人データをやりとりする上での規制が新たに定められました。

罰金/制裁金

制裁金の金額は、2,000万ユーロと全世界年間売上高の最大4%まで、のいずれか大きい方を上限とする。
(GDPR第83条 5項)

自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
(第83条)

データポータビリティの権利
○ 第20条

× なし

プライバシー・バイ・デザインの導入
○ 第25条

× なし

データ保護影響評価(DPIA)の実施
○ 第35条

× なし



※その他、留意事項

① データ保護責任者(DPO)の設置

 一定の要件を満たす企業・団体は、個人情報保護に関する専門知識を有する「データ保護責任者(DPO:Data Protection Officer)」を置く必要があります。要件の一例として、データ処理が公的機関、または団体によって行われる場合、データ処理を行う事業者の業務が、大規模、定期的かつ系統的な監視を必要とする場合などとされています。

 要件に当てはまらない場合は、設置は必須ではありませんが、大規模、定期的、系統的に個人情報の処理や移転を行うケースは含まれますから、多くの企業・団体が該当するはずです。


② GDPRを管轄する「当局」

 GDPRを管轄する組織は「データ保護機関(DPA:Data Protection Authority)」です。DPAは個人情報を扱う企業などの組織(情報管理者)や、情報管理者からデータの管理や処理を受託する組織(情報処理者)が、適切にデータを扱っているか否かを定期的に監視します。

 DPAはEU加盟国に設置されています。日本を含むDPAが設置されていない国や地域の組織が、EU市民の個人情報を扱う場合、取り扱う個人情報がもっとも多い国のDPAが窓口になって、データを移転する際の契約内容の確認やインシデント時の対応などに当たります。


③ 制裁金

 GDPRに違反した場合の制裁金は、以下が定められています。どちらが適用されるかは、義務違反の形によって異なり、DPAが判断するとしています。

  ・1,000万ユーロ(約13億円)、または企業の全世界での前年度の総売上の2%の高い額
  ・2,000万ユーロ(約26億円)、または企業の全世界での前年度の総売上の4%の高い額


 GDPRの認知度が上がった理由として、"26億円か総売上の4%"という巨額の制裁金が要因の一つになったことは否めません。

 ただ、違反が認められた場合、いきなり制裁金を求める訴状が届くことはなく、警告、懲戒などのプロセスを経るとされています。いずれにしても、制裁金は大企業であっとしても経営に深刻なダメージを与える額ですから、最悪の事態として認識しておく必要があります。

 

6.事故時の対応

 GDPRでは、個人情報の漏えいなどが発生した場合、72時間以内にデータ保護機関に通知することが義務付けられています。同時に個人情報を保有しているすべての人に、遅滞なく通知しなければなりません。GDPRに関わらず国内の情報漏えい事案でもそうですが、過去の情報漏えいの事例では被害を受けていること、または加害の立場となってしまっていることに自ら自発的には気が付かないこと(消費者や特定団体等の第三者からの通報で発覚)も多くあります。また、被害の全貌を把握してから公表するという手順を踏むことが多く、従来のやり方では「3日以内の報告」は難しいと言わざるを得ません。情報漏えいは、外部からの指摘で判明することも多いため、社内のチェック体制の点検や、インシデントの発生時に円滑に関係機関に報告を行う体制作りが求められます。

 直近では、以下の事案について、GDPR違反の可能性が指摘されています。

 日本のホテルが外国語Webサイトの運営を委託している「ファストブッキングジャパン株式会社」の親会社であるフランス法人「ファストブッキング社」のサーバに対して不正アクセスがあり、欧州からの宿泊者の氏名や住所、クレジットカード情報などの個人情報が流出したものです。

 GDPRの条文第8章第83条「制裁金を科すための一般的要件」によれば、制裁金を科すか否か、制裁金の額を判断する場合には、損害の程度のほかに、その違反に対して管理者または処理者がどのような対策をとったかを重視するとあります。違反の通知の有無や、どの範囲で通知したのか、過去に関連する違反がなかったか、あった場合はそれに対する対応がされているかなど、その管理者または処理者の取り組みの姿勢が審査されるということです。

 ファストブッキングの事案は、EU域内に拠点がある処理者にWebサイトの運営を委託している会社にとってはまさに参考にすべき重要なケースと言えるでしょう。ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けになります。

 例えば、IT部門が外部業者に自社収集の個人情報の処理を委託している場合だけでなく、購買部門が扱う業務委託契約全般で「個人情報を収集させていないか」、「収集させている場合、セキュリティ対策は大丈夫か」というチェックを、サプライヤー選定時の必須確認項目として考える必要があります。本件がもし制裁金には発展しなかったとしても、それをもって安心材料とするのは早計です。同じような情報漏えいや個人情報の流出などが発生した場合に、管理者としてGDPRに則した適切な対策をとっていないと見なされれば、制裁金が発生する可能性もあります。


2.最近のトピックス

◆トレンドマイクロ「ビジネスメール詐欺に関する実態調査 2018」

 8月14日、トレンドマイクロ社は「ビジネスメール詐欺に関する実態調査 2018」を公開しました。これは、企業などの組織で情報セキュリティやIT、経理などに関する意思決定に携わる1,030人を対象に、2018年6月に行われた調査の結果です。回答者の39.4%にあたる406人が、ビジネスメール詐欺のメールを受信した経験があり、実際にビジネスメール詐欺のメールを受信した人のうち62.3%(253人)が、「送金依頼」のメールを受信したと回答。そして、「送金依頼」のメールを受信した253人のうち、8.7%にあたる22人は指定口座に入金したことがわかりました。

 また、組織の幹部や従業員に関する個人情報などの「情報の送付依頼」のメールを受信したのは51.5%(209人)にのぼりました。トレンドマイクロ社は、ビジネスメール詐欺の被害を未然に防ぐには、セキュリティ対策製品の導入に加え、社員に対して攻撃手法に関する注意喚起や教育を行うことも重要な対策になると指摘しています。

 特定の企業を狙ったケースでは、あらかじめ企業内に潜入して飛び交うメールの内容を把握し、実際に送信されたメールの内容を数時間後に再利用するフィッシングメールも存在します。これを悪意ある者の仕業だと判断することは、極めて困難だといえますが、詐欺の手口や狙いを知り、勤務先に金銭被害をもたらさないよう慎重に行動する必要があります。日々受信するメールから騙される可能性があるということを客観的に理解し、社内での情報共有体制を整え、不審なメールや犯罪の手口等の情報を集約し会社全体での脅威への認識を高める必要があります。


◆情報処理推進機構「【注意喚起】偽口座への送金を促す"ビジネスメール詐欺"の手口(続報)」

 8月27日、独立行政法人 情報処理推進機構(IPA)は、「偽口座への送金を促す"ビジネスメール詐欺"の手口(続報)」という注意喚起を公開しました。2018年7月には日本語のメールによる攻撃事例が確認され、IPAへの情報提供は2015年11月から2018年7月の約2年半で計17件、うち5件で金銭的被害が確認されています。IPAに情報提供があった日本語のメールは、本物のCEOの名前とメールアドレスを詐称し、偽の弁護士をメール本文に登場させ「機密扱いでお願いしたい」「国際送金の必要がある」という内容でした。IPAは、英語のメールのやりとりの習慣がない国内企業も、今後、被害に遭う可能性が高まると指摘しています。

 実際、業務にWebメールを利用している企業への攻撃では、経営幹部や人事担当者をかたって業務メールのシステムに再ログインを促すフィッシングメールを送りつけ、受信者を偽のログインページへ誘導する手口が確認されています。もし、誘導先ページでアカウント情報を入力してしまうと、メールアカウントを乗っ取られてしまう可能性があります。また、メールアカウントの乗っ取りでは、受信者にメールの添付ファイルを開かせることでキーロガーと呼ばれるウィルスに感染させ、IDとパスワードを割り出す手口も確認されています。BECに引っかからないよう、以下のポイントを確認しておきましょう 。


▼情報処理推進機構「【注意喚起】偽口座への送金を促す"ビジネスメール詐欺"の手口」

・ 送金がらみのメールは詐欺を疑う

 経営幹部や取引先の担当者などから緊急の送金や振込口座の変更、メールアカウント情報の確認を求めるメールを受け取ったら、その正当性を慎重に判断してください。メールに記載されている電話番号ではなく、いつも使用している電話番号に連絡するか直接本人に会って話すなど、メール以外の手段で事実確認してください。


・ 勤務先が定めるルールに従って行動する

 経営幹部や取引先などから高額の送金や振込口座の変更をメールで依頼されたら、社内の承認プロセスを経るなど、必ず社内ルールに定められた手順に従って処理してください。


・ メールのURLリンクや添付ファイルを不用意に開かない

 たとえ、経営幹部や取引先から届いたメールでも、無条件にURLリンクや添付ファイルを開いてはいけません。Webメールのサイトに見せかけたフィッシングサイトに誘導されたり、ウィルスに感染させられたりしてメールのアカウント情報を盗み取られる可能性があるためです。


◆フィッシング対策協議会「2018/07 フィッシング報告状況」

 8月1日、フィッシング対策協議会は、2018年7月の月次報告書を公開しました。

 フィッシング報告件数は1,977件で、前月(2,009件)より32件減少、フィッシングサイトのURL件数は996件で、こちらは前月より160件増加しました。そして、フィッシングに悪用されたブランド件数は41件で、こちらも前月から7件増加しています。7月中旬にかけてAppleやAmazonをかたるフィッシングメールが何度も大量配信されており、7月後半は、短縮URLを用いて本文内に記されたURLをメールごとに変える手口も多く確認されています。


▼MUFG カードをかたるフィッシング

 メールの件名は【重要:必ずお読みください】というもので、「MUFGカードWEBサービス」に対し第三者によるアクセスが確認されたため、暫定的にIDを変更したという内容です。そして、任意のIDに変更するために「MUFGカードWEBサービス」にログインするよう促そうというものです。フィッシングサイトでは、カード番号や有効期限、セキュリティコードの入力を促され、これらの情報を犯罪者にだまし取られる可能性があります。


▼セゾン Net アンサーをかたるフィッシング

 「セゾンNetアンサー」は、パソコンやスマホなどから会員が利用明細の確認やポイント交換などを行えるサービスです。フィッシングメールは「【重要:必ずお読みください】」という件名で、第三者によるアクセスが確認されたとして、アカウントを暫定的に変更したという内です。そして、任意のIDに変更手続きを行うため、本文に記載されたURLをクリックし、ID、パスワードを変更するよう促しています。


▼Amazonをかたるフィッシング

 メールの件名は、「あなたのアカウントはブロックされています [日付]」「[受信者の氏名] Amazonのアカウントが盗まれました。 変更してください [日付時刻]」「[受信者の氏名] Amazonアカウントの有効期限が切れました。 変更してください [日付時刻]」などで、個人情報が無効、または古いという理由で一時的にアクセスを無効にしているという内容です。


 上記のように、フィッシングサイトでは、クレジットカード番号や有効期限、生年月日やセキュリティコードといった情報の入力欄があり、これらの情報が盗み取られる可能性があります。

 利用者がフィッシングの被害を未然に防ぐためには、個人情報の入力を求めるメールは疑ってかかるなど、メールの取扱いに注意するとともに、アクセスしたサイトが本物かどうか「アドレスバー」のドメイン名を確認するなど、Webサイトを目視確認することを習慣づける必要があります。

 また、パソコンのOSやアプリケーションなどのソフトウェア、ブラウザーのプラグインなどを最新の状態に更新し、最新のセキュリティソフトを使用し、ウィルス定義ファイルを常に最新の状態に保つといった基本的なマルウェア対策も併せて継続することが推奨されます。


3.最近の個人情報漏えい事故(2018年7月、8月)

 下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトである▼Security Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
 

業種

発生原因

対象

備考

1

市立小学校

USBメモリ紛失

児童297人に関する身体測定のデータ

教諭の私物で、内部のデータは暗号化されていなかった

2

出版社

不正アクセス

メールアドレスと平文のログインパスワードを含むアカウント情報3375件

3

新聞社

不正アクセスによるサイト改ざん

誘導先のサイトでは、偽セキュリティ対策ソフトのダウンロードなどが要求され、表示をクリックしたり個人情報を入力すると、マルウェアに感染したり情報が窃取されるおそれ

4

NPO法人

ノートパソコン紛失

寄付を行った企業や人物など1415件の情報を保存。氏名や住所、寄付金額など

パソコンは紛失から6日後に回収された

5

専門学校

書類持ち去り

入学者名簿など個人情報を含む資料

個人情報を含む廃棄書類が学生によって持ち去られ、閲覧されていた

6

通販

不正アクセス

氏名や住所、性別、電話番号、メールアドレス、パスワード、利用履歴、顧客より受信したメールなどの顧客情報1万1156件

7

大学病院

USBメモリ紛失

治療を受けた患者約50人の氏名、患者番号、疾患名、治療名、治療日時などのデータ

8

市立保育所

SDメモリカード紛失

在籍する児童17人分の画像データ

9

製薬

メール誤送信

メールアドレス2066件

誤って送信先を「Cc」に設定

10

出版社

ノートパソコン紛失

個人情報66件

11

ノートパソコン紛失

のべ329人分、実質179人分の世帯主氏名、生年月日、性別、被保険者記号番号、診療月ごとの自己負担額と高額療養費支給額など

パソコンや周辺機器を処理業者へ引き渡す作業で、誤って引き渡した可能性

12

学習塾

不正アクセス

出データにはユーザーID、デバイス情報などのほか、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報

 13

 県立高校

USBメモリ紛失

映像などを含む最大で276人分の情報

 14

 市

書類紛失

DV被害者の氏名や生年月日、住所と転居先など

同市では同月30日、対象となる被害者に事情を説明して謝罪。また、紛失した書類から転居先が配偶者に知られる可能性もあることから被害者の意向を確認したうえで、再度転居を行ったとしている。

 15

 旅行代理店

FAX誤送信

8人分の氏名や住所、自宅や会社の電話番号、携帯電話番号、生年月日、性別、会社名、旅行の情報など

社内の担当部署へファックスすべきものを、短縮ダイヤルを誤って押したことで取引先へ送信された

 16

 不動産

メール誤送信

メールアドレス446件

誤って送信先を「Cc」に設定

 17

 市

書類紛失

「産婦および新生児・乳児訪問記録票」など5種類の関連書類34世帯分

誤廃棄の可能性

 18

 東京都

メール誤送信

メールアドレス62件

送信先を宛先に設定してメールを送信したため、受信者間でメールアドレスが閲覧できる状態となった。同社担当者がミスに気が付き、直後に謝罪のメールを送信したが、その際も誤って宛先にメールアドレスを記載してしまった

 19

 県

USBメモリ紛失

県職員の健康診断における結果データ4551人分で、氏名、年齢、性別、職員番号、所属、健診結果など

駐車場で車上荒らしにあったもの。施錠していたが窓ガラスを割られ、業務用のUSBメモリを鞄ごと持ち去られた。

 20

 証券

ノートパソコン紛失

印刷物の発送に用いる住所録として提供していた顧客情報784件

自宅へ持ち帰った際、パソコンを車内に置いたままにしたところ、翌日にパソコンが持ち去られていたことに気が付いた

 21

 電力

書類紛失

顧客395件の氏名や建物名、部屋番号、計器番号、電柱番号、契約種別、契約容量など

 22

 国立大学

USBメモリ紛失

氏名や年齢、性別、病歴、診断内容など

 23

 市

USBメモリ紛失

国民健康保険税更正通知に関する個人情報449人分

 24

 イベント運営

不正に漏えい

音楽グループの宿泊先情報を外部に漏えいさせた

 25

 市立中学校

USBメモリ紛失

193人分の氏名、学年と学級、社会科の成績など

 26

 ガス

書類紛失

顧客113件の顧客名、住所、前年ガス総使用量、巡回予定年月など

 27

 市

メール誤送信

メールアドレス29件

送信先を宛先に設定したため

 28

 商工会議所

メール誤送信

メールアドレス89件

送信先を誤って「CC」に設定したため

 29

 私立大学

不正アクセス

学生と卒業生31人分の氏名や学生番号、勤務先での役職名など

 30

 市民病院

タブレット端末紛失

入院患者325人分や、人工呼吸器の装着患者165人分の情報を保存。氏名や生年月日、身長、体重、病名、主治医と診療科など

 31

 県

書類紛失

職員が決裁文書を持ち帰り、未処理のまま放置していたことや、個人情報含む書類を紛失し、奨学金の貸与などに影響も出たという。

 32

 私立大学

メール誤送信

メールアドレス90件

メールを編集していたところ誤って送信

 33

 国立大学

ノートパソコン紛失

受講生384人分の個人情報を保存した氏名、学生証番号、成績など

教員が所有するパソコンが、学内で盗難被害に遭った

 34

 通販

不正アクセス

顧客のクレジットカード情報最大358件が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなど

 35

 通販

不正アクセス

顧客のクレジットカード情報最大7万7198件で、クレジットカードの名義、番号、有効期限

 36

 地方銀行

書類紛失

顧客90件の氏名や住所、電話番号、生年月日、印影、口座番号、取引金額など

誤廃棄の可能性

 37

 通販

不正アクセス

クレジットカードの名義、番号、有効期限、セキュリティコードなど最大1万1314件

 38

 国立大学

ノートパソコン紛失

アルバイトとして採用した学生15人分の氏名や生年月日、所属ゼミ、出勤状況、送受信したメールなど

食事をしていた際にパソコンを入れた鞄が置き引き被害に遭った

 39

 専門学校

書類紛失

生徒の氏名や住所、電話番号、生年月日、性別のほか、成績や出欠状況、技能照査結果、資格取得状況など

 40

 私立大学

メール誤送信

メールアドレス57件

送信先を誤って宛先に設定したため

 41

 県

HDがネット上で売買

地権者など191人分の氏名や住所、電話番号、土地面積、契約金額、口座番号など

使用していたノートパソコンの内蔵ハードディスクが、インターネット上で売買されていた

 42

 医療センター

持ち出し

氏名や電話番号など

退職した医師が患者の個人情報を不正に持ち出していた

 43

 国立大学

メール誤送信

メールアドレス185件

送信先を誤って宛先に設定したため

 44

 信用金庫

書類紛失

顧客163件の氏名や住所、電話番号、生年月日、勤務先、預金口座番号、取引金融機関名、入出金金額、貸付金額など

誤廃棄の可能性

 45

 市立中学校

USBメモリ紛失

生徒9人分の氏名、住所、電話番号、性別、生年月日、保護者名など

 46

 市

誤発送

児童手当現況届の提出依頼通知25世帯分の個人情報

 47

 市立小学校

書類紛失

児童2人の氏名と学校名、食事内容

外部の拾得者から連絡があり問題が判明

 48

 府

誤掲載

医薬品卸売販売業者など8社の関係者16人分の個人情報を記載していたもので、氏名や会社名、役職、部署名、携帯電話番号など

個人情報が記載されたシートに気が付かず、ウェブサイトに誤って掲載していた

 49

 府

メール誤送信

氏名や所属、メールアドレス47件

送信先を誤って宛先に設定したため

 50

 県

書類紛失

国会議員や秘書の名簿、長崎県議会議員名簿、危機管理マニュアル、所属課関係職員の住所録、記者携帯電話番号一覧など616人分の個人情報

飲食したあとベンチで眠り込み、翌日11日目を覚ましたところ、資料を入れた鞄やメガネなどがなくなっていることに気が付いた

 51

 環境省

書類紛失

不服審査の請求者に関する氏名や住所、生年月、病歴など

電車内で資料を入れていた鞄ごと盗まれた

 52

 ホテル

メール誤送信

ウェブサイトに登録されている顧客の氏名のほか、宿泊ホテルや予約番号、到着日、出発日など449件

予約システムの不具合の可能性

 53

 薬局

書類紛失

顧客の氏名や住所、電話番号、生年月日、性別など

誤廃棄の可能性

 54

 機構

持ち出し

同機構が設置する委員会の関係者に関する住所など、数人分の個人情報含む内部情報

持ち出された情報の二次流出や、第三者への提供などは確認されていないとしているが、元従業員によるデータの操作履歴を解析するなど調査を進め、原因を解明した上で再発防止を図るとしている

 55

 県立大学

不正アクセス

蔵書処分に関する問題に対しての同大コメント案や同問題に対する情報開示請求書などが添付。さらに酒気帯び運転で検挙された同大職員への対応を協議した内容や職員のネット購入履歴など

全教職員228人宛てに、本来送信されることのない内部情報が一斉送信された

 56

 薬局

窃取

クレジットカードの名義や番号、有効期限、セキュリティコード234件

顧客の氏名や盗んだクレジットカード情報を用いてインターネット通信販売で商品を購入していたが、クレジットカード会社より不正利用の疑いがあるとして同社に連絡があり、調査を行ったところ問題が発覚した

 57

 市

メール誤送信

メールアドレス58件

送信先を誤って宛先に設定したため

 58

 地方銀行

書類紛失

氏名や住所、納付金額など2439件の顧客情報

誤廃棄の可能性

 59

 保健所

書類紛失

相談者や飼い主など個人11件、団体1件の氏名、住所、電話番号など

公用車が車上荒らしに遭った

 60

 市

メール誤送信

メールアドレス91件

送信先を誤って宛先に設定したため

 61

 イベント

メール誤送信

メールアドレス500件

送信先を誤って宛先に設定したため


 「42」「54」「56」は、元従業員や退職者が情報の持ち出しに関与した事案です。企業情報は事業・営業活動などにより形成・蓄積されていきますが、その中には、独自に開発した技術やノウハウ、計画段階にある販売戦略や顧客リストなど、数多くの企業秘密や個人情報が存在します。これらは紙の書類や、パソコン・サーバなどにデータとして保管されているだけでなく、従業員が身に付けたノウハウといった目に見えない形のものもあります。そのため、全てを把握して完璧に管理することは難しい、というのが現状ではないでしょうか。

 情報が漏えいする経路は複数ありますが、情報処理推進機構が昨年3月に公表した「企業における営業秘密管理に関する実態調査―調査報告書―」によれば、営業秘密の漏えいルートで一番多いのが「現職従業員等のミス」で 43.8%、次は「中途退職者(正規社員)」の24.8%で、正規社員以外の契約社員や派遣社員、役員などを含めた退職者全員を合わせると 34.4%になります。漏えい先に関しては、同報告書によると「国内の競合他社」が 32.4%と一番多く、外国を含めると競合他社への漏えいが 42.9%となり、自社の事業へ大きな影響を及ぼす可能性が高いことがうかがえます。

▼情報処理推進機構「企業における営業秘密管理に関する実態調査」

 一般的な内部不正対策としてまず挙げられるのは、権限の管理とログの収集です。権限の管理では、従業員それぞれに適切な権限を設定するとともに、退職した際には遅滞なくアカウントを消去するといった対策も重要です。情報漏えい事案の中には、退職者のアカウントをすぐに消去しなかったことで、退職者が退職後も重要情報にアクセスするために当該システムへログインできるケースもありました。また、従業員の操作ログを収集、保管することで、問題が発生した際の原因を突き止めやすくできるほか、「常に監視されている」という意識を持たせることで不正抑止効果も期待できます。

 さらに最近では、AIや機械学習を内部犯罪の検知に活かすものもあります。例えば、内部犯罪を起こしてしまう人は、それを実行に移すまでに、かつての同僚とメールをやり取りして愚痴を書く傾向があるので、それをAIや機械学習によって検知し、未然に防ぐようなソリューションもあります。この場合は、あらかじめメールを検閲することを従業員に伝える必要がありますが、それ自体も抑止力になるかも知れません。そして、何より重要なことは、従業員に対する教育による意識の向上です。会社に勤めることとはどういうことなのか、会社の目的や従業員の目的になど基本的な心構えをあらためて理解させる必要があるでしょう。

 こうした教育は入社時だけでなく、定期的に実施することが重要なのです。


ページ先頭へ


セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。


【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

関連コンテンツ
個人情報漏洩時の対応コンサルティング

万一、貴社にて個人情報漏洩事案が発生してしまった場合には、専門のスタッフが責任を持って支援させていただきます。事案の規模を問わず、お気軽にご相談ください。

情報セキュリティトピックス

公式ツイッター

SPクラブメンバーズサイト