GDPRの主な要件をわかりやすく解説

データ漏洩やプライバシーに関する懸念がますます一般的になっている時代において、一般データ保護規則（GDPR）を理解し遵守することは、法的に必要であると同時に、信頼と誠実さの重要な要素でもある。

包括的なデータ保護法であるGDPRは、欧州連合（EU）内で個人の個人データを処理するすべての組織に適用されます。この記事では、GDPRに準拠する必要があるのは誰かを説明し、プライバシー要件を定義するGDPRの重要な条文の要約を提供し、GDPR準拠のその他の重要な要素を列挙します。サイバーセキュリティにおけるAIの影響については、当社のブログをご覧ください。AIサイバーセキュリティサイバー脅威からAIシステムを守る.

GDPRに準拠する必要があるのは誰か？

EU域内の個人データを扱う組織は、EU域内か否かにかかわらず、GDPRに準拠しなければならない。これには、個人データの処理目的と手段を決定するデータ「管理者」と、管理者に代わってデータを処理する「処理者」の両方が含まれる。

組織がEUに拠点を置いていなくても、EUのデータ主体に商品やサービスを提供したり、その行動を監視したりする場合は、GDPRに準拠する必要がある。このことは、GDPRの適用範囲をグローバルに拡大し、これらの要件を理解し遵守することの重要性を強調している。

プライバシー要件を定義するGDPR条文の概要

GDPRでは、法律の第3章において様々なプライバシー要件が定義されています。ここでは、各主要条文における主な要件を簡単に要約します。

第12条：透明性とコミュニケーション

この条文は、個人データの処理に関する情報を、簡潔で透明性があり、理解しやすく、アクセスしやすい形で提供することを組織に義務付けている：

• GDPRの下での権利に関する情報提供を含め、データの処理方法についてデータ主体との明確なコミュニケーションが必要となる。
• 組織は、データ主体の権利行使（アクセス、修正、削除など）を促進しなければならない。
• 情報は、書面またはその他の手段（要求があれば電子的なものを含む）で提供されなければならない。

第13条と第14条：収集するとき個人データ

これらの条文は、個人データが本人から収集される場合（第13条）、または他の情報源から収集される場合（第14条）、データ主体に特定の情報を提供することを組織に義務付けている：

• データ管理者の身元および連絡先、データ処理の目的、データ処理の法的根拠、データの受領者などの情報を提供しなければならない。
• 組織は、データ対象者に対し、その権利、データ保持期間、および監督当局に苦情を申し立てる権利について通知しなければならない。
• データがプロファイリングを含む自動的な意思決定に使用される場合は、その旨も開示しなければならない。

第15条：アクセス権

本条は、情報主体が自己の個人データにアクセスし、そのコピーを取得する権利を与えるものである：

• これにより、データ主体は処理の合法性を確認することができる。
• 組織は、処理の目的、関係する個人データのカテゴリー、受領者または受領者のカテゴリーなどの追加情報を提供しなければならない。

第16条：正確さ

本条は、組織に対し、処理する個人データが正確であり、必要に応じて最新に保たれていることを保証することを義務付けている。組織は、個人データの不正確さを遅滞なく消去または修正するために、あらゆる合理的な手段を講じることが求められる。

第17条：消去権

忘れられる権利」としても知られるこの権利により、データ主体は自分に関する個人データの削除を不当な遅延なく要求することができる。組織は、データが不要になった場合、同意が撤回された場合、データ主体が処理に異議を唱えた場合、または処理が違法であった場合に、これに従わなければならない。

第18条：処理を制限する権利

データ主体は、データの正確性に異議がある場合や処理が違法である場合など、特定の状況下で個人データの処理制限を要求することができる。制限の間、組織はデータを保管することはできるが、それ以上の処理はできない。

第20条：データのポータビリティ

この条文により、データ主体は、構造化され、一般的に使用され、機械で読み取り可能な形式で個人データを受け取る権利を与えられる。また、データ主体がこのデータを他のデータ管理者に直接転送することを要求することもできます。

第21条：異議申し立ての権利

データ対象者は、特にプロファイリングを含むダイレクト・マーケティングにおい て、いつでも個人データの処理に反対する権利を有する。組織は、その処理に正当な理由があることを証明しない限り、処理を中止しなければなりません。

その他のGDPRコンプライアンス要件

以下はGDPRが定める追加要件である：

処理の合法的根拠

GDPRの下では、組織は個人データを処理するための合法的根拠を持たなければなりません。この規則には、同意、契約、法的義務、重要な利益、公的任務、正当な利益の6つの合法的根拠があります。それぞれの合法的根拠には、満たさなければならない要件や条件があります。例えば、組織が同意に基づく処理を合法的根拠とする場合、その同意が自由に与えられ、具体的で、十分な情報を提供され、明確であることを保証しなければならない。

同意の条件

同意は、GDPRの下で個人データを処理するための最も一般的に使用される合法的根拠の1つです。しかし、GDPRの下で有効な同意を得ることは、見かけほど簡単ではありません。同規制は同意の条件を厳格に定めており、同意は自由に与えられ、具体的で、十分な情報を提供され、かつ明確でなければならない。さらに、組織は有効な同意を得たことを証明できなければならず、個人はいつでも同意を撤回できなければならない。

コントローラーとプロセッサーの義務

GDPRでは、データ管理者とデータ処理者を区別し、それぞれに異なる義務を課しています。簡単に言えば、データ管理者とは、個人データの処理目的と手段を決定する組織であり、データ処理者とは、管理者に代わって個人データを処理する組織である。

データ管理者はGDPRに基づき、データ処理活動が規制に準拠していることを保証すること、処理活動の記録を保持すること、個人データを保護するために適切なセキュリティ対策を実施することなど、多くの義務を負う。一方、データ処理者は、管理者の指示に従ってのみ個人データを処理することが求められ、また適切なセキュリティ対策を実施しなければなりません。

データ保護オフィサー（DPO）

GDPRでは、データ保護責任者（DPO）の選任を推奨、場合によっては義務付けています。DPOの役割は極めて重要であり、GDPRの義務に関する助言、コンプライアンスの監視、データ主体および監督当局の窓口としての役割を果たす。すべての組織にDPOの任命が義務付けられているわけではありませんが、大量のデータを処理する組織や機密性の高いデータを扱う組織には強く推奨されます。

DPOは、組織がGDPRの全要件を遵守することを保証する責任を担う。DPOはまた、データ保護法および慣行に関する情報提供および助言も行います。DPOは、社内のデータ保護活動の管理、データ保護影響評価に関する助言、および関連当局との連携も任務とします。

国境を越えたデータ転送

GDPRは、個人データを欧州経済領域（EEA）外に移転する際の厳格な規則を定めています。これらの規則は、データが国際的に移転される際にGDPRが提供する保護が損なわれないことを保証するものです。

GDPRの下では、国境を越えたデータ移転は一定の条件下でのみ認められている。そのような条件の一つは、適切性決定の存在です。これは、欧州委員会がEEA以外の国または国際機関が適切なレベルのデータ保護を提供していると認めたことを意味します。

監督官庁

各EU加盟国は、苦情の聴取・調査、行政違反の制裁、監査の実施を行う独立した監督当局（SA）の設置を義務付けられている。

監督当局はGDPRの施行において重要な役割を果たします。監督当局には、コンプライアンス違反に対して多額の制裁金を課す権限が与えられており、GDPRに違反していることが判明した場合、データ処理活動を禁止する権限もあります。

さらにGDPRは、組織が監督当局と協力することを義務付けている。これには、リスクの高いデータ処理を行う前にSAに相談することや、72時間以内にデータ侵害を報告することなどが含まれる。

協力と一貫性

組織は、すべてのEU加盟国でGDPRの一貫した適用を確保しなければならない。これは、GDPRが一律に適用されるように設計された一貫性メカニズムによって達成される。

また、協力と一貫性の要件は、個人データの保護に関して、組織間および監督当局との協力を求めている。これは、EU全体でデータ保護への調和されたアプローチを確保する上で極めて重要である。

さらに、国境を越えたデータ処理の場合、GDPRは主管監督機関（LSA）という概念を導入している。これは、データ管理者が主たる拠点を置く国の当局である。LSAは調査を主導し、GDPRの一貫した適用を確保する責任を負う。

救済、責任および罰則

GDPRは、データ主体にデータ管理者およびデータ処理者に対する法的救済の権利を与えています。これには、監督機関に苦情を申し立て、司法的救済を求める権利が含まれます。

責任に関しては、データ管理者と処理者の双方が、コンプライアンスに反する処理によって生じた損害に対して責任を負う可能性がある。これはデータ侵害だけでなく、あらゆるコンプライアンス違反に及びます。

GDPRはまた、コンプライアンス違反に対する厳しい罰則を導入している。これは、最大2000万ユーロまたは全世界の年間売上高の4％のいずれか高い方の金額となります。これらの罰則は、組織がデータ保護に真剣に取り組み、GDPRの要件を遵守することを保証するためのものです。

Exabeam によるGDPRセキュリティ管理への対応

Exabeamは、企業が技術的および運用的な要件を満たすのを支援します：

• 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵対するハッカーがデータを発見しアクセスしようとしていることを示す可能性のある異常な行動を特定します。
• 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK ^{Ⓡフレームワークは}、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。

監視とタイムリーな通知：お客様のセキュリティ・エコシステムにおけるインテリジェンスの中心的な役割を果たすだけでなく、Exabeamは、正確なコンプライアンス・レポートを含め、インシデントの全容に関するフォレンジック情報を提供します。