目次
GDPRとは何か?
一般データ保護規則(GDPR)は、欧州連合(EU)が2018年5月に制定したデータ保護およびプライバシーに関する法律である。GDPRは、個人データに対する個人の管理能力を高め、EU全体のデータ保護規制を調和させることを目的としている。
この規制は、企業の所在地に関係なく、EU居住者の個人データを処理するすべての組織に適用される。同規則は、データ処理に関する明示的な同意の取得、透明性の維持、データの正確性の確保、個人データを保護するための適切なセキュリティ対策の実施など、データ処理実務に関する要件を課している。
GDPRの重要な要素のひとつは、コンプライアンス違反に対する多額の罰金の導入であり、最高で2000万ユーロまたは組織の全世界年間売上高の4%のいずれか高い方に達する可能性がある。さらにGDPRは、自分のデータへのアクセス、訂正、削除、移植の権利など、「データ主体の権利」の概念を確立している。これらの規定は、個人に新たな法的権利を提供し、個人データを扱う組織の説明責任を高めるものである。
データ保護法(DPA)とは?
データ保護法(DPA)は、個人データの処理を規定する英国の法的枠組みである。最新版であるデータ保護法2018は、英国のデータ保護法をGDPRと整合させている。
DPAは、データ管理者およびデータ処理者の義務を規定し、個人データが合法的、透明的かつ公正に管理されることを保証するものである。また、個人のプライバシー権を保護するため、データの最小化、目的の限定、データの正確性など、データ処理に関する原則を概説しています。
DPAはまた、国家安全保障や法執行目的のデータ処理など、GDPRが完全にカバーしていない分野に対処するための特別な規定も導入している。同法は、データ保護に関する英国の規制当局として情報コミッショナー事務局(ICO)を設立した。ICOはコンプライアンスを監視し、違反を調査し、罰金を科したり是正措置を取ったりするなど、法律を執行する責任を負う。
このコンテンツは、GDPRコンプライアンスに関するシリーズの一部です。
プライバシー・電子通信規則(PECR)とは何か、GDPRやDPAとの関連は?
Privacy and Electronic Communications Regulations (PECR)は、電子通信の利用を規制する英国の法律であり、その中で個人のプライバシー保護に重点を置いている。2003年に導入されたPECRは、未承諾のマーケティング・コミュニケーション、クッキーや類似技術の使用、電子コミュニケーションのセキュリティなどの分野を規制しています。
PECRは主に電子通信におけるプライバシーに焦点を当てているが、GDPRやデータ保護法のような広範なデータ保護法を補完するものである。PECRとGDPRは、特に同意要件の点で重複する部分があります。例えば、どちらの規制も、ダイレクトマーケティングの電子メールを送信する前や、必須ではないクッキーを使用する前に、明確かつ十分な情報に基づいた同意を得ることを組織に求めています。
GDPRのより厳格な同意ルールはPECRの施行に影響を与え、電子コミュニケーションにおける個人データの処理について、より明示的な同意メカニズムを要求している。その結果、企業はデジタル・マーケティング活動を実施する際に、両方の規制へのコンプライアンスを確保する必要があります。
PECRはGDPRやDPAとは別の法律ですが、情報コミッショナー事務局(ICO)がその施行を監督しています。ICOは、GDPRやDPAと同様に、PECR違反に対して罰金を科し、強制措置を取ることができます。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、GDPRとDPAのコンプライアンスにうまく適応するためのヒントを紹介します:
暗号化よりもデータの仮名化を優先する:暗号化は広く推奨されるプラクティスであるが、仮名化はGDPRとDPAの両方においてより柔軟性を提供することができる。
強固な対象者アクセス要求(SAR)プロセスを導入する:GDPRとDPAは、個人に自分の個人データにアクセスする権利を与えるため、ワークフローを合理化することでSARの急増に備える。可能な限りSARプロセスを自動化し、対応の遅れによる罰金を避けるため、迅速な対応のための専門チームを設置する。
要求事項以外のデータ保護影響評価(DPIA)の活用:DPIAはGDPRではリスクの高い処理に義務付けられているが、主要な処理活動すべてについて実施することで、特に新製品やサービスを立ち上げる際に、データリスクを事前に特定し、両規制へのコンプライアンスを向上させることができる。
ブレグジット後の国境を越えたデータ移転に備える:EUと英国の間で業務を行う組織については、標準契約条項(SCC)や拘束力のある企業規則(BCR)のような強固な仕組みが整備されていることを確認する。
マーケティング戦略におけるプライバシー優先のアプローチの活用:PECRがGDPRやDPAと並行して機能しているため、マーケティング部門はプライバシー・バイ・デザインの取り組みに関与する必要がある。マーケティング・キャンペーンが厳格なオプトイン・コンセントと透明性の高いデータ慣行に沿ったものであることを確認し、ダイレクト・マーケティング規則違反による罰則を回避する。
GDPRとDPA:主な違い
1.管轄
GDPRは、欧州連合(EU)内の全加盟国に加え、EU居住者の個人データを処理するEU域外の組織にも適用される。この域外適用範囲は、EU域外の企業がEU市民のデータを扱う場合、GDPRを遵守しなければならないことを意味する。対照的に、データ保護法(DPA)は主に英国内のデータ処理活動を規制している。DPAはGDPRの原則に沿ったものですが、特に国家安全保障と法執行に関する、英国の立法状況に合わせた特定の条項が含まれています。
GDPRがEU全体で統一されたデータ保護規制を目指しているのに対し、DPAはこれらの原則を英国の法的枠組みに組み込むことに重点を置いている。ブレグジット後の英国は、DPA 2018と並行して、英国GDPRとして知られるGDPRのバージョンを適用します。EUと英国の両方で事業を展開する組織は、それぞれの特定の法域の要件を考慮しながら、GDPRとDPAの両方の規制へのコンプライアンスをナビゲートする必要があります。
2.範囲と対象
GDPRとDPAはともに個人データの保護を目的としているが、DPAには英国の法的・社会的ニーズを反映した追加のレイヤーと例外が組み込まれている。
GDPRの適用範囲は広く、EU居住者の個人データを処理するあらゆる組織に適用され、その組織がどこに拠点を置いているかに関係なく適用されます。これには、マーケティングや顧客対応からデータ分析に至るまで、さまざまな立場でデータを扱うデータ管理者やデータ処理者が含まれます。GDPRの適用範囲により、個人のプライバシー権がさまざまな状況や業界にわたって保護されることが保証される。この規則では、「設計およびデフォルトによるデータ保護」といった概念が導入され、個人データを当初から保護するための積極的な対策が強調されている。
対照的に、DPAの適用範囲は英国の状況に特化しており、GDPRの規定が完全には適用されない可能性のある国家安全保障、防衛、法執行といった特定の分野を取り上げている。また、DPAには、ジャーナリズム、研究、アーカイブといった特定の種類のデータ処理について、特定の基準を満たす場合に適用除外となる規定も含まれている。
3.規制当局
GDPRの下、各EU加盟国はデータ保護当局(DPA)を指定し、その管轄内でコンプライアンスを実施し、データ保護問題に対処する責任を負います。これらの当局は、欧州データ保護委員会(EDPB)を通じて協力し、EU全域でGDPRの一貫した適用を確保します。EDPBはガイドラインを発行し、紛争を解決し、データ保護の執行に統一的なアプローチを提供します。
英国では、情報コミッショナー事務局(ICO)がデータ保護の規制当局として、データ保護法(DPA)と英国GDPRの遵守を監督している。ICOはデータ侵害を調査し、罰金を科し、データ保護の実践に関するガイダンスを提供する権限を持っています。ICOはまた、データ保護法に基づく権利と責任について組織や個人を教育する役割も担っている。ブレグジット後も、ICOは国境を越えたデータ保護の問題に確実に対処するため、欧州のDPAと調整を続けている。
4.罰金と罰則
GDPRの特徴のひとつは、コンプライアンス違反に対する罰金と罰則である。組織は、最高2000万ユーロまたは全世界の年間売上高の4%のいずれか高い方の罰金を科される可能性がある。これらの罰金は、データ侵害やコンプライアンス違反に対する抑止力として機能し、組織にデータ保護慣行を採用させることを意図している。
同様に、英国のデータ保護法(DPA)2018は、コンプライアンス違反に罰金を課しており、罰金は最高で1750万ポンド、または全世界の年間売上高の4%に達する。ICOはこの罰金を科す権限を持ち、データ保護義務を果たさない組織に対して強制措置を取る。GDPRと同様、DPAの罰則はデータ保護対策を奨励し、個人のプライバシー権が尊重されるようにすることを目的としている。
5.データ処理条件
GDPRは、個人データを合法的に処理できる条件を定めています。これらの条件には、データ主体からの明示的な同意の取得、契約の履行、法的義務の遵守、生命的利益の保護、公共の利益のために実施される業務の遂行、およびデータ管理者が追求する正当な利益のためのデータ処理が含まれます。GDPRはまた、健康情報など、処理に追加の保護措置と正当性を要求する特別なデータ・カテゴリーを導入しています。
データ保護法(DPA)はこれらの原則に沿ったものであるが、英国の事情に特有な特定の種類のデータ処理に関する特定の規定を含んでいる。例えば、DPAは国家安全保障、防衛、法執行を目的としたデータ処理に対処し、ガイドラインと適用除外を規定しています。DPAはまた、特殊カテゴリーデータおよび犯罪データの処理に関する条件を概説し、これらの活動が合法的かつ透明性をもって実施されることを保証している。
6.データ漏洩の通知
GDPRは、組織がデータ侵害に気づいてから72時間以内に関連監督当局に報告することを義務付けている。情報漏えいが個人の権利と自由に高いリスクをもたらす場合、組織は影響を受ける個人にも過度の遅延なく通知しなければならない。この要件は、迅速な対応を確保し、データ侵害による潜在的な被害を軽減することを目的としている。
同様に、英国のデータ保護法(DPA)は、データ侵害を72時間以内に情報コミッショナー事務所(ICO)に報告することを組織に義務付けている。DPAはまた、情報漏えいの影響を受ける個人への通知基準についても概説している。
7.法的目的と適用除外
GDPRとデータ保護法(DPA)の両方には、法的目的のためのデータ処理に関する規定が含まれ、具体的な適用除外が概説されている。GDPRは、法的義務、公共の利益に基づく業務、および管理者が追求する正当な利益の下でのデータ処理を認めます。GDPRはまた、ジャーナリズム、研究、アーカイブなどの特定のシナリオについて、保護措置が講じられていることを条件に、適用除外を定めています。
DPAにも同様の原則が盛り込まれていますが、英国の状況に関連する免除規定が追加されています。これらの適用除外は、国家安全保障、移民、法執行などの分野に適用され、異なる規則が適用される場合があります。DPAは、学術研究や報道活動などの特別な目的のためのデータ処理に関するガイドラインを定めており、これらの活動が責任を持って倫理的に行われることを保証しています。
両規制を確実に遵守するためのベストプラクティス
以下は、組織がGDPRとDPAの両方を確実に遵守するための方法です。
データマッピングとインベントリ
データマッピングは、組織がどのような個人データを収集し、どこに保管し、どのように処理し、誰がアクセスできるかを特定する作業である。このプロセスは、組織がデータの流れを明確に理解し、潜在的なリスクを評価し、データの取り扱いが法的要件に準拠していることを確認するのに役立ちます。
正確なデータインベントリを管理することで、企業は監査や規制当局による調査の際にコンプライアンスをより簡単に証明することができます。データマッピングはデータ保持ポリシーの特定もサポートし、組織が個人データを必要以上に長く保持しないよう支援する。これは、GDPRとDPAの両方におけるデータ最小化の原則の遵守をサポートします。
処理の合法的根拠
GDPRとDPAの両方は、個人データを処理するための合法的根拠を確立することを組織に求めています。GDPRが概説する6つの合法的根拠には、同意、契約履行、法的義務、重要な利益、公共事業、正当な利益が含まれます。組織は、依拠する合法的根拠を明確に文書化し、それがデータ処理のコンテキストに適用されることを確認する必要があります。
合法的な根拠として同意に依拠する場合、組織は同意が自由に与えられ、具体的で、十分な情報を提供され、かつあいまいさのないものであることを保証しなければならない。さらに、同意はいつでも容易に撤回できなければならない。正当な利益などのその他の合法的根拠については、組織は、その利益がデータ主体の権利と自由に優先しないことを確認するために、バランステストを実施する必要がある。
データの最小化
GDPRもデータ保護法も、組織に対し、所定の目的に必要な個人データのみを収集することを求めている。つまり、組織は収集するデータの量と種類を評価・制限し、過剰な情報を収集しないようにしなければならない。
データ収集を最小限に抑えることで、企業はデータ侵害のリスクを減らすことができる。データの最小化を実施するには、収集した個人データが適切で最新かどうかを判断するために、データ処理活動を定期的に監査する必要がある。未使用または古くなったデータは、安全に削除または匿名化する必要がある。
透明性とプライバシーに関する通知
プライバシー通知は、データ処理の目的、処理の合法的根拠、およびデータに関する個人の権利を明確に説明することにより、透明性の義務を果たすのに役立つ。これらの通知は、明確でわかりやすい言葉で書かれ、データ収集時に提供されなければならない。
組織は、プライバシー通知を容易にアクセスできるようにし、データ処理活動の変更 を反映するために定期的に更新すべきである。これには、データが共有される可能性のある第三者について個人に通知し、データの保持期間を説明することも含まれる。また、透明性は、データが責任を持って取り扱われることを示すことにより、顧客との信頼関係を構築する。
第三者ベンダー管理
サードパーティ・ベンダーの管理は、GDPRとDPAのコンプライアンスを維持する上で極めて重要であり、特にこれらのベンダーが組織に代わって個人データを取り扱う場合はなおさらである。企業は、データを処理する第三者が自社と同じデータ保護基準を遵守することを保証しなければならない。
これには、契約締結前にベンダーに対するデューデリジェンスを実施し、セキュリ ティ対策やコンプライアンス義務など、各当事者の責任を定義したデータ処理契約 を確立することが含まれる。リスクを最小化するために、組織は、サードパーティ・ベンダーの定期的な監視と監査を実施し、継続的なコンプライアンスを確保する必要がある。
従業員のトレーニングと意識向上
従業員は個人データを取り扱う役割を担っているため、組織は従業員がGDPRとDPAの要件に精通していることを確認する必要がある。データの最小化、合法的な処理、セキュリティの実践など、データ保護の原則について従業員を教育するために、定期的な研修プログラムを実施する必要があります。これにより、ヒューマンエラーの可能性を減らすことができる。
トレーニングは、組織内のさまざまな役割に合わせて実施し、従業員がデータ保護に関する責任を理解できるようにする必要があります。さらに、データ侵害の対応手順とインシデントを迅速に報告することの重要性についての認識を高めることは、侵害の影響を軽減するのに役立つ。
GDPRの要件についての詳しい説明をお読みください。
エクサビームによるGDPR対応
エクサビームは、企業がGDPRの技術的要件と運用要件の両方を満たすことを支援します:
- 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵がデータを見つけアクセスしようとしていることを示す可能性のある異常な行動を特定します。Exabeamの脅威タイムラインは、異常と相関ルールのイベントを組み合わせ、ユーザーやデバイスごとにイベントをグループ化します。
- 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK Ⓡフレームワークは、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。
可視化とダッシュボード: Exabeamは、GDPRの義務化とデータプライバシー担当者のニーズをサポートするために、コンプライアンスに基づいた明確なGDPRダッシュボードを提供し、簡単にダウンロード、エクスポート、または電子メールで定期的に送信します。
エクサビーム・コンプライアンスについてもっと読む。
