GDPR 一般データ保護規則の詳細 - 原則2と原則3

6月 04, 2018 セキュリティとコンプライアンス, MOVEit

皆様は、ここ数週間の間に「個人情報保護方針を改訂しました」といった内容のメールを溢れるほど受け取ったのではないでしょうか?このやや異常な事態は、いかに多くの企業が GDPR の規制に敏感になっているかを物語っています。

2018年5月25日をもって、一般データ保護規則(GDPR)が発効しました。これは、世界中の企業が、収集される EU 在籍者の個人データを取り扱う方法をより慎重なものにして、情報の安全性とプライバシーを確保する必要があることを意味します。引き続き、GDPR のデータ保護の原則を掘り下げていきたいと思います。

前回のブログでは、データ保護の第一原則である「正当で、規則に準じた、明確(トランスペアレント)なデータ処理」について説明しました。今回のブログでは、データ保護の第二原則と第三原則、「目的の限定」と「必要な最小限データ」を取り上げます。

GDPR はデータ収集の目的の限定を義務付け

GDPR のデータ保護の第二原則(第5条1項(b) )は、個人データが、「特定の明示的かつ合法的な目的のために収集され、それらの目的に適合しない方法では処理されない」ことを義務づけています。特定の目的で収集された個人データを「当初の目的と互換性のない」目的で使用することも禁じられています。

GDPR への準備はできていますか?確認のためにホワイトペーパーをお読みください。

要するに、個人データを収集して処理するためのはっきりした合法的な目的が必要だということです。特定の目的なしにデータを収集した場合は、コンプライアンス違反とみなされる可能性があります。同様に、ある目的のためにデータを収集して処理したら、そのデータを関連のない目的で処理することはできません。たとえば、GDPR の下では、研究目的で収集されたデータをマーケティング目的で処理して販売することはできません。

GDPRの規定では、個人データとは、単独で、または所有者がアクセスする可能性のある他のデータと組み合わせて、個人を識別するために使用できるデータです。つまり、名前、電話番号、IPアドレス、電子メールなど、ほとんどのデータが該当します。

ケンブリッジ・アナリティカ社のデータ不正疑惑で、フェイスブックのマーク・ザッカーバーグ氏が米国議会と欧州議会で喚問を受けた事件は記憶に新しいところです。英国の政治コンサルタント会社であるケンブリッジ・アナリティカ社は、2016年の選挙期間中に、数百万人のアメリカ市民と EU 市民に政治広告を行うために、研究目的で収集されたデータを使用しました。GDPR の新たな規制の下では、ケンブリッジ・アナリティカ社とフェイスブック社は、世界中の年間収益の4%に及ぶ多額の罰金を課される対象となり得ます。現在のところ、米国にはそのような目的を制限する法律はありません。

収集・保存されるデータを最小限に抑える必要

GDPRによってデータ収集と処理の方法を見直さざるを得なくなりますが、中でも重要なものは、第5条1項(c) の「必要な最小限データ」の原則です。この原則によれば、収集されるすべての個人データは、「適切かつ関連性があり、処理される目的のために必要なものに限定されている」必要があります。

これは「目的の限定」原則と密接に関連していますが、収集されるデータだけでなく、保存されるデータにも制限が加えられる点で異なります。基本的に、GDPR に準拠するには、収集から処理、保管、使用までのデータ・ライフサイクルのすべての段階で、データを最小限に抑えなければなりません。つまり、プロセスのあらゆる段階で本当にそのデータが必要かを自問し、答えがノーであればその情報を削除する必要があります。このプロセスは、証明可能な監査証跡で文書化する必要があります。

また、「必要な最小限データ」の原則は、データを保存する期間について考える必要があることを含意します。たとえば、7週間続くプロジェクトのためにデータが必要な場合は、プロジェクトが終了してデータが不要になったときにそのデータを削除する必要があります。これまでは、後でまた何かの役に立つかもしれないからということで、すべてのデータを保存しておくことが慣習的に行われてきました。ですが、そのような行為は GDPR 違反になりますので、十分注意が必要です。

GDPR に準拠するためには、データ収集の際に次の点を確認するべきです。

  • このデータをどのように使用するか
  • このデータを収集せずに目的を達成できるか
  • 目的を達成するためにどれだけの機関このデータを保持する必要があるか

MOVEit が GDPR の原則2と原則3の遵守を支援

企業が EU 在籍者の個人情報を収集、保管、処理、または送信する場合は、GDPR、一般データ保護規則が適用されます。厳しいこの規制に違反しないようにするには、個人データの送信に関わるシステム、ユーザー認証、および暗号化技術が安全で GDPR に準拠していることをしっかり確認する必要があります。MOVEit のような信頼できるマネージド・ファイル・トランスファー・ソリューションは、企業の GDPR コンプライアンス徹底を様々な方法で支援します。 

MOVEit を使用することで、標準化された安全で文書化されたデータ転送タスクを提供するフォームベースのソリューションが得られ、データの移動先、使用者、および閲覧者を追跡できます。データのライフサイクルを完全に把握できるこういった機能は、データ最小化の制約を満たすには不可欠です。MOVEit の包括的な分析機能を使えばファイル転送アクティビティが完全に把握でき、GDPR のデータ保護原則に沿って継続的にコンプライアンス徹底を実行できます。 

セキュアなマネージド・ファイル・トランスファーである MOVEit は、転送中と保存中のデータの暗号化、データの整合性チェック、既存のセキュリティシステムとの統合、ファイル転送アクティビティの詳細なログ提供なども行います。

今後、以降の原則についても掘り下げますが、よろしければ、イプスイッチで用意した以下のホワイトペーパーもご参照ください。

また、以下は GDPR の7つの原則の短い紹介ビデオ(日本語、音声なし)です。 

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.