一般データ保護規則(GDPR)は、EU 内外の組織による EU 居住者の個人データの取り扱い方法を規定する欧州連合(EU)法です。 GDPRは2016年に欧州議会と欧州理事会によって採択され、2018年5月25日に施行されました。
具体的に、GDPRは
- 個人データの転送及び処理に法的に承認された方法を定義し、
- 組織が保管時および転送時の個人データを保護する方法を詳細に説明し、
- 個人データの収集、使用、保有に関するEU居住者の権利を確立します。
GDPRでは、個人データを特定可能な人物に関連するあらゆる情報として定義し、直接識別子(氏名やクレジット・カード番号など個人に固有のデータ・ポイント)と、間接識別子(身体的特徴や生年月日など個人を特定できる非固有の特徴を含む)があります。
GDPRの用語で、データ主体はデータが関係する人物を指します。たとえば、会社が電子メール・アドレスを収集した場合、そのアドレスの所有者がデータ主体になります。
GDPRはヨーロッパの法律ですが、世界的に適用されます。EU居住者の個人データを収集または使用するどの組織にも適用されます。
組織がGDPR要件を満たせるように、IBMは設計によるデータ・プライバシーへの取り組みを強化しています。IBMは、データ保護の原則をビジネス・プロセスにさらに深く組み込むことに取り組んでいます。この取り組みにより、個人データへのアクセスを制限する既存の保護措置も強化されます(デフォルトで個人データの共有を防ぐモバイル・アプリケーションを含む)。
この取り組みの一環として、多くのIBM Cloud製品とサービスはEUクラウド行動規範(EU Cloud CoC)認証(ibm.com外部へのリンク)を取得しています。EUクラウドCoC要件は、クラウド・サービス・プロバイダー(CSP)がGDPRに準拠する能力を実証するフレームワークを提供します。EUクラウドCoC認証を取得したIBM Cloud製品およびサービスの詳細については、EUクラウドCoCページをご覧いただくか、遵守宣言の検証(ibm.com外部へのリンク)をお読みください。
IBMのセキュリティーとプライバシーに関する詳細は、IBM Trust Centerをご覧ください。
IBMのデータ・プライバシー契約条項の詳細については、IBM用語の「データ保護」でご確認ください。
データ・プライバシー関連の質問については、IBMプライバシー・チーム(chiefprivacyoffice@ca.ibm.com)に直接お問い合わせください。
GDPRのデータ処理規則と原則は、EU加盟国27カ国すべてにアイスランド、リヒテンシュタイン、ノルウェーを加えた欧州経済領域内で活動するすべてのデータ管理者と処理者に適用されます。
データ管理者(管理者)とは、個人データを収集し、その使用方法を決定する組織、公的機関、その他のグループまたは個人を指します。たとえば、ユーザーのデータベースを保持するソーシャル・メディア・サイトは管理者になります。
データ処理者(処理者)とは、個人データを分析・保存・変更するなど、何らかの方法で個人データに基づいて行動する組織です。企業は管理者と処理者の両方を兼ねる場合があります。また、データ・ストレージと分析を提供するクラウド・サービス・プロバイダーのように、管理者に代わってデータを処理する第三者組織も処理者に該当します。
欧州経済領域内に拠点を置くすべての管理者と処理者は、欧州経済領域外でデータを保存・処理する場合でも、GDPRに拘束されます。
欧州経済領域外に拠点を置く企業は、次のいずれかの条件が該当する場合、GDPRに拘束されます。
- 企業が、金銭のやり取りがない場合でも、EEA居住者に商品やサービスを定期的に提供している。
- 企業が、追跡クッキーを使用するなどして、EEA居住者の活動を定期的に監視している。
- 企業が、EEAに拠点を置く管理者に代わってデータを処理している。
GDPRから免除されるデータ処理活動は、国家安全保障や法執行活動、並びにデータの純粋に個人的な使用のみです。
GDPRは、個人データを扱う際に管理者と処理者が従わなければならないいくつかの原則を定めています。大まかに言えば、これらの原則は、すべての処理活動が明確に定義され、透明性があり、公平でなければならないことを定めています。
目的制限の原則に基づき、企業は収集するデータについて特定の合法的な目的を念頭に置く必要があります。その目的をユーザーに伝え、データ収集をその目的に必要な最小限のデータに限定する必要があります。
企業はデータを公正に使用しなければなりません。ユーザーには個人データの処理について常に通知し、データ保護規則に従う必要があります。保管制限の原則に基づき、企業は目的が達成されるまでの間に限り個人データを保管するべきです。データは、不要になったら削除しなくてはなりません。
GDPRは、企業が個人データを処理するために利用できる法的根拠を定義しています。これらの条件のうち少なくとも1つを満たす必要があり、満たされない場合、その処理は違法となります。
データ主体が、自分のデータが処理されることに同意していること。データ主体が自分のデータの処理に同意している場合、企業はその人のデータを処理できます。同意は、情報提供された上で、積極的かつ自由意志に基づいて行われた場合にのみ有効です。
情報提供された上での同意となるには、企業は収集するデータとその使用方法を明確に説明する必要があります。同意が積極的であるには、ユーザーは声明に署名するか、ボックスをチェックするなど、同意を示す意図的な行動を取る必要があります。同意はデフォルト・オプションにしてはいけないため、事前にチェックされたボックスなどはGDPRに違反します。同意が自由意志に基づいて行われるには、企業が主体に対していかなる影響も強制もしてはなりません。サービスが機能するために処理が必要でない限り、企業はサービスの使用に同意を求めることはできません。たとえば、企業が何かを販売するためには個人のクレジット・カード番号が必要かもしれませんが、IPアドレスは必要ではないでしょう。
複数の目的でデータが処理される場合、企業は一括で同意を求めることはできません。主体が、各処理活動を個別に承諾または拒否できる状態でなくてはなりません。組織は同意の記録を保持しなければなりません。主体はいつでも同意を撤回できます。撤回された場合は、処理を停止しなければなりません。
データは、データ主体またはデータ主体の代理人との契約履行のために処理されなければならない。たとえば、ローンを申し込む場合、銀行はその人の財務データや雇用履歴を処理する必要があるかもしれません。
管理者には、データを処理する法的義務があります。たとえば、一部の医療規制では病院に患者データのファイル保持が求められています。
データは、主体または他の人物の重大な利益を保護するために処理されなければならない。これは、人命救助や危害防止のためにデータを処理する必要がある状況を指します。
データは、公益のためまたは管理者の公的権限の一部である任務の遂行のために処理されなければならない。報道は、個人データを処理する公益の理由の典型例です。政府機関は、その公的機能の遂行のために個人データを処理できます。
データは、管理者または第三者の正当な利益を追求するために処理されなければならない。正当な利益とは、データ処理を通じて企業が得られる利益です。従業員の身元調査を行うことや、サイバーセキュリティー目的で企業ネットワーク上のIPアドレスを追跡することなどが例として挙げられます。処理は、正当な利益と見なされるために必要なものでなければなりません。企業は、対象のデータがなくても任務を達成できる場合、正当な利益を主張できません。また、データ主体は、処理が行われることを合理的に予期する必要があります。主体が自分のデータが特定の方法で使用されていると聞いて驚く場合、企業には正当な利益の根拠がない可能性があります。一般に、データ主体の権利は企業の正当な利益よりも優先されます。
組織はデータ収集の前に、その根拠を確立して文書化しなければなりません。これらの根拠をユーザーに伝えなければなりません。企業は、主体の同意なしに、後からその根拠を変更することはできません。
GDPRでは、特に機密性が高いと見なされるデータの種類を考慮しています。こうした特別なカテゴリーには、個人の人種や民族、宗教的信念、政治的意見、生体認証データなどの情報が含まれます。
企業は、非常に特定の状況下でのみ、特別なカテゴリーのデータを処理できます。これには、
主体からの明示的な同意が得られている場合や、
科学的または歴史的研究のために必要な処理などが含まれますが、これらに限定されません。
有罪判決に関するデータは、公的機関によってのみ管理され、その指示に基づいて処理されます。
組織は、処理原則に従い、すべての処理活動に対する法的根拠を確立するだけでなく、GDPRに準拠するために他のいくつかのルールにも従う必要があります。
企業がデータ主体に重大なリスクをもたらす方法でデータを処理しようとする場合は、まずデータ保護影響評価を実施する必要があります。評価が必要とされる状況には、機密データの自動処理や大規模処理が含まれることがあります。
評価では、処理内容の記述や、その必要性の説明、リスク評価、それらの軽減方法の検討が必要です。評価で軽減されていない重大なリスクが存在することが判明した場合、企業は処理を進める前に関連するデータ保護当局に相談する必要があります。
GDPRに基づき、一部の企業はデータ保護責任者(DPO)を任命する必要があります。DPOは、GDPRコンプライアンスを担当する独立した執行役員です。企業は、その職務を遂行するDPOに対して報復措置を取ることはできません。
DPOの責務には、GDPRおよびその他のデータ保護法に関する組織への助言や、データ保護影響評価の監督、政府規制機関およびデータ主体との連絡窓口としての役割が含まれます。
すべての公的機関は DPO を任命する必要があります。 民間企業は、データ主体を大規模に監視するか、中核業務として特別なカテゴリーのデータを処理する場合、DPOを任命する必要があります。また、欧州外の企業は、欧州経済領域居住者のデータを定期的に処理するか、特に機密性の高いデータを処理する場合、欧州経済領域内に代表者を指定する必要があります。
データ管理者は、処理者や第三者と共有するデータについて責任を負います。管理者と処理者は、GDPRを遵守するために正式なデータ処理契約を締結することがよくあります。これらの契約には、処理者が実行できる処理の種類や採用しなければならないセキュリティー対策の種類などの詳細が定められています。
第三者処理者は、管理者の指示に従ってのみデータを処理できます。管理者のデータは独自の目的で使用することはできません。
欧州経済領域内の管理者は、特定の条件下でのみ、欧州経済領域外のいわゆる「第三国」にある処理者にデータを転送できます。欧州委員会が適切なデータ・プライバシー法を持つと認定した第三国には自由にデータを転送できます。管理者は、委員会が十分と考える保護措置を備えた個々の処理者にもデータを転送できます。国も処理者も委員会の承認を得ていない場合でも、管理者がデータが保護されることを保証できるなら、転送が許可される場合があります。
管理者と処理者は、個人データの保護のために組織的および技術的なセキュリティー対策をどちらも講じる必要があります。
組織的な対策には、GDPRの規則に関する従業員のトレーニングや正式なデータ・ガバナンス・ポリシーの導入などが含まれます。
技術的なセキュリティー管理には、ソフトウェア、ハードウェア、その他のテクノロジー・ツールが含まれます。たとえば、暗号化や他の仮名化技術は、ハッカーが個人データを傍受することを困難にします。たとえば、
- IDおよびアクセス管理、データ損失防止、その他のデータ・セキュリティー・ツールでは、適切な人物のみが適切な理由で個人データにアクセスできるように権限を適用できます。データ・バックアップ・ソリューションでは、破損または削除されたデータを復元できます。
- セキュリティー情報・イベント管理(SIEM)プラットフォームは、ネットワーク・アクティビティを追跡し、データの侵害や悪用を検知することができるため、組織は迅速にインシデントに対応できます。
- ネットワークの脆弱性が存在するだけではGDPRに違反することはないかもしれませんが、それによりハッカーが保護されたデータにアクセスしやすくなり、違反につながる可能性があります。脆弱性管理と攻撃対象領域管理ソリューションは、企業がこれらの脆弱性を発見し、解消するのに役立ちます。
GDPRは、企業に対してデータ保護を設計およびデフォルトでの原則として採用するよう指示しています。つまり、組織は、設計またはデプロイするすべてのプロセス・製品・システムにおいて、データ・セキュリティーを重要な要素とすることが求められます。データ保護の原則は、後から付け加えるものではなく、企業が行うすべての活動の基礎となるべきです。
管理者は、ほとんどの個人データ侵害を72時間以内に監督当局に報告する必要があります。侵害がデータ主体にリスクをもたらす場合(金銭的または身元盗用など)、企業は影響を受ける主体にこれを通知する必要があります。
侵害通知は被害者に直接送られなければなりません。直接の連絡が不合理でない限り、公表だけでは十分ではありません。通知には、盗まれたデータの種類を始め、主体に対するリスクや、企業がどのように状況に対処しているかの詳細が含まれるべきです。主体に対する通知には、懸念がある場合にDPOまたは他の代表者に連絡する方法も含める必要があります。侵害が主体に実質的なリスクをもたらす可能性が低い場合、企業は主体に通知する必要はありません。たとえば、盗まれたデータが強固に暗号化されており、ハッカーにとって使用不可能な場合は通知は不要です。
GDPRは、その管轄区域内のデータ主体に多くの権利を確立しています。
データ主体は、自分のデータが誰の手にあり、どのように入手され、何に使用されているかを知る権利があります。
データ主体は、企業が保有する自分のデータにアクセスする権利を持っています。
データ主体は、不正確または古い個人データを訂正する権利を持っています。
「忘れられる権利」とも呼ばれるこの権利は、データ主体が企業に自分のデータを削除するよう要求できることを指します。自社のデータへの利益(たとえば、特定の記録を維持する法的義務など)がこの権利を上回る場合を除き、企業はこれに従わなければなりません。
主体が自分のデータが不正確であるか、違法に使用されている、または企業の目的にはもはや必要ではないと考える場合、データの使用方法を制限するよう企業に要求することができます。データの処理に優先的な利益があることを証明できない限り、企業はこれに従わなければなりません。
主体は自分のデータを一つの企業から別の企業に移す権利を持っています。企業は、データを共有可能な形式で保存したり、主体の要請に応じて第三者に送信したりすることによって、個人データの転送を容易にする必要があります。
データ主体はいつでも自分のデータの処理に異議を唱えることができます。企業は、正当かつ優先的な理由があることを証明できるまで、処理を停止しなければなりません。
GDPRではプロファイリングを、仕事のパフォーマンスやウェブ閲覧行動の予測など、人のある側面を評価するための自動処理法の使用として定義しています。企業は、重要な決定を下すために影響を受ける人々の同意なしに自動処理法を使用することはできません。主体は、自動処理のみに基づいて行われた決定に異議を唱える権利があり、その決定に関して意見を提示し、企業に人間の従業員による決定の見直しを要求することができます。
GDPRを施行するのは、監督当局としても知られる公的な規制機関であるデータ保護当局(DPA)です。各加盟国には独自のDPAがあり、その国内に拠点を置く企業を管轄します。監督当局は、企業の監査やデータ主体からの苦情の受理、違反の調査を行うことができます。潜在的な違反が複数の国の主体に関連する場合、調査は企業またはその代表者が拠点を置く国の監督当局が主導します。
違反の場合、監督当局は罰金を科し、組織に特定の変更を強制することができます。また、企業にデータ主体の要求を尊重させ、不法なデータ処理活動を停止させることができます。
欧州データ保護委員会(EDPB)は、DPA間の調整を促進し、欧州経済領域全体でGDPR規則の一貫した適用を保証します。
違反に対する罰金は高額になる可能性があります。親の同意なしに未成年者のデータを処理するなどの軽微な違反は、最大1,000万ユーロまたは組織の前年度の全世界収益の2%のいずれか高い方の罰金が科される可能性があります。
不法な目的でデータを処理するなどの重大な違反の場合、最大2,000万ユーロまたは組織の前年度の全世界収益の4%のいずれか高い方の罰金が科される可能性があります。
重要なデータを保護し、コンプライアンスのワークフローを簡素化しましょう。Guardium Insightsは、シャドー・データの発見や、機密情報の保護、ハイブリッドクラウド全体での一元的な可視性の提供、コンプライアンス・ポリシーの強制の自動化の一助となる堅牢な機能により、データ・セキュリティーを強化します。
安全でスケーラブルなインフラストラクチャーを低コストで構築しましょう。新しいアプリケーションを即座にデプロイし、需要に応じてミッションクリティカルなワークロードや機密性の高いワークロードをスケーリングします。これらはすべて、セキュリティーが強化されたプラットフォーム内で行われます。