GDPR導入１年後の考察と知見

今月でGDPRの施行から一年となります。重大なデータ侵害と法的要件への違反に対して、実際に罰金が科せられた事例も既に出てきました。当社も幾つかのインシデントへの対応を受託、対処してまいりました。そこで、この一年間に様々なクライアントのお手伝いをするなかで得られた知見を以下にレポートとしてまとめました。これらの知識を共有することにより、皆様の企業が直面する、データ侵害のリスクの低減、データ侵害が発生した場合のより効率的かつ効果的な対応、また事故的に発生する法的要件への違反の低減を実現するための改善や変更を行ううえでのヒントとなれば幸いです。

企業として冷静かつ体系的にデータ侵害に対応するために何が役立つかを考えたとき、特にデータ保護オフィサー（DPO）への情報の流れの一元化、確実なバックアップシステム、定期的な削除を実施するルーチンが最も重要であることが分かってきました。 

技術的な措置

物理的なセキュリティ

• 予期せぬ出来事により機器の破損や破壊がいつでも起こる可能性があるため、確実なバックアップのシステムと手順、手続きが重要になります。複数の場所でバックアップを行うことで、さらなるリスク削減が図られます。
• データの偶発的な損失や漏洩を防ぐために、データ媒体の転送にあたっては、それを必ず暗号化し、書留郵便、追跡コードにより保護しなければなりません。
• サーバーが格納された部屋やケージ、ラックの鍵は、IT管理者や社長にしか使用できないようにする必要があります。
• 機器端末の窃盗は企業秘密や個人データにとって重大な脅威になる可能性が高いので、従業員は自己の端末を社外で使用するときは常に目の届く範囲に置き、無人状態で放置してはなりません。 

ITセキュリティ

• パスワードは最低8文字とするべきですが、端末へのログインパスワードはさらに10文字以上を使用する必要があります。というのも、最新のGPUを利用すれば、端末に保存されている8文字のパスワードは半日もあれば解明されてしまうからです。
• 数ヶ月ごとにパスワードを更新するとパスワードの全体的な強度を下げてしまうため、そのような更新は避けます。
• リスト型攻撃から保護するために、アカウントごとに固有のパスワードを設定する必要があります。
• ブルートフォースアタック（総当たり攻撃）を防ぐために、複数回ログインに失敗したらアクセスをブロックする必要があります。
• 悪意のある活動を後から追跡できるように、ログイン試行は数日間、記録して保存しなければなりません。
• 問題のない基本的なセキュリティを確保するために、機器端末にはハードウェア暗号化が必要です。
• モバイル端末（スマートフォン、ノートパソコン）はすべて、リモート接続による削除を有効にすべきです。
• 訪問者に社内ネットワークへのアクセスを認めてはなりません。訪問者がネット接続を必要とするならば、相互汚染を防ぐためにゲスト用に別個ネットワークを使用するのも一つの方法です。 

対策

• アクセス権限は、従業員ごとに必要とされる作業だけに限定すべきです。
• ファイヤウォールやアンチウイルスのソフトウェアを導入し、厳格な管理方針に基づいて整備する必要があります。
• 電子メール暗号化は実装が難しいものの管理は容易で、顧客からの信頼を高めます。
• 顧客や取引先に対する商用の電子メールには、デジタル署名を求められることが多くなっています。
• プライバシーポリシーへのリンクを電子メールの末尾に引用することは、企業としてのトランスパレンシーの評価を高めるのに役立ちます。
• IT部門の社員には、個人データ保護とITセキュリティの内容を含んだ、特別な研修を受けさせる必要があります。
• ウェブサイトのログは、その保存期間が限定されています（法律に別段の定めがない限り、7日～14日のみ保存）。
• 管理の作業負担を減らすために、可能であれば自動削除のルーチンを実装するべきです。
• 社員に与えた端末はロックダウンし、信用できないアプリやプログラムのインストールを禁止すべきです。
• データ保護意識の高い、専門的なITスタッフの雇用は、外部コンサルタントの費用を減らしながら、通常その企業にはるかに適したソリューションを実現することができます。

 

組織的な措置

対策

• すべてのプロセスを明確に文書化し、全社員に閲覧可能にする必要があります。それによって、社内のコミュニケーションと全体像の把握を促します。
• 各種データについて削除回数と削除手順を明確な文書に記録する必要があります。
• データ保護に違反する恐れのあるデータ侵害インシデント（データ損失、端末紛失、ハッキング行為、不慮の開示）がある場合、連絡ルート、フローを明確にしておく必要があります。早急な対応のために、できるだけ早い段階でDPOに連絡が行くように規定します。
• データ侵害があった場合は、当該のインシデントに詳しい社員のうち一名は事情の解明のために常に対応できるようにし、調査への集中を妨げる要素を制約します。
• 各人の認識に齟齬が生じないように、関連する社員全員でガイドラインや社内規則について議論すべきです。
• 新しい状況に対するレスポンスを高め、それに慎重な対応できるように、社員に対してデータ保護とITセキュリティ意識の重要性に関する研修を定期的に行う必要があります。
• 明確な手続き、手順を維持するために、ワークショップや役割練習の実施も有益なことがあります。
• どんなに些細に思えることでも、社員はデータライフサイクルやプロセスのどの段階でも個人データの処理について疑念があれば、それをためらわず聞くことができるようにします。
• 質問のある社員に対して正しく指導できるように、管理職はGDPRの一般的な用語や原則について知っていなければなりません。
• DPOに対する単一的な連絡窓口（DPC：データ保護コーディネーター）を社内に設ければ、コミュニケーションを一元化する助けになります。そのようなDPCには当該の業務に割く時間を与えなければなりません。
• 文書、記録、人事ファイルに加えた変更は記録しなければなりません。そのような記録によって、後から加えた改ざんを発見し、デューデリジェンス（注意義務の履行）を証明します。
• ミスプリントを確実に破棄するために、プリンタから手の届きやすい場所にシュレッダーや機密文書回収ボックスを置く必要があります。 

法規・規制

• 自社に影響を与える可能性のあるすべての変更を把握するために、DPOは最新動向に通じていなければなりません。そのためには、必要な時間とリソース（参考書籍や専門誌など）をDPOに与えて、支援する必要があります。
• 裁判所の決定、またサービスプロバイダのサービス供与条件の変更などにより多くの変更が生じるため、プライバシーポリシーをメンテナンスし、定期的に見直さなければなりません。
• クッキーの使用に対する同意は明確な文言で、本人が任意かつ明示的に行うものでなければなりません。
• 解析ソフトウェアのなかには、本人の事前のオプトイン（能動的な同意）がない限り使用できないものもあります。
• 自社が使用しているプラットフォームについてはプライバシーポリシーで開示しなければならず、当該プラットフォームと別途の契約や取決めを締結することが必要になる可能性もあります。
• 防犯カメラ（CCTV）の運用は訪問者に明確でなければならず、防犯カメラを公共エリアの監視に使用してはなりません。
• 模造品のカメラは、偽物であっても人々の行動に影響を及ぼす可能性があることから、本物のカメラと同じ規制の対象となります。
• WhatsAppは現在、ビジネス使用ではGDPRに適合しておらず、このことは今後も変わりません。 

 

変わり続けるランドスケープ        

逆説的な言い方ですが、GDPRについて最も確実に言えることは、その不確実性は今後も続くということです。毎週のように規則詳細の解釈を変更するような司法判断が示され、また毎月のようにGDPR施行に影響を与えるような重大な判決が下されています。例えば、プラットフォーム（Facebook、Twitter、LinkedInなど）と、そこにページを設けている企業との間に共同管理者関係があると見なす考え方がその例として挙げられます。

クッキー通知、トラッキングや解析の技術その他についても、今後さらなる判決が下される見込みです。eプライバシー規則の手続きがさらに数ヶ月遅れている現在、多くの行政当局がeプライバシー指令に関する既存の国内施行法規よりも優位の効力をGDPRに既に認めるようになっています。放送（インターネット、テレビ、ラジオなど）に関する特別な法律や規則が定められない限り、GDPRだけで法的な確実性を保証するのは難しくなるでしょう。