これからのGDPRの対応で踏み外してはいけない“基本”とは何か - (page 3)

國谷武史 (編集部) 2018年06月11日 06時00分

  • このエントリーをはてなブックマークに追加

非常に難しい「正当性の根拠」

ANAシステムズ 品質・セキュリティ管理部エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRTの阿部恭一氏
ANAシステムズ 品質・セキュリティ管理部エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRTの阿部恭一氏

 岩瀬氏と阿部氏が、GDPR対応の中で判断が最も難しい点の一つと指摘するのが、データ処理の「正当化の根拠」だという。企業が個人のデータを使うには、(1)適法性・公正性・透明性、(2)目的の制限、(3)データの最小化、(4)正確性、(5)保存期間の制限――の6つの原則を守る必要があり、かつ、処理をすることについて正当化根拠が必要になる。加えて、個人のデータを第三国(EEA以外の国や地域など)に移転するにも根拠がなければならない。

 正当なデータ処理としうる根拠としてGDPRでは、「有効なデータ主体(個人)の同意」もしくは「法的な正当化の根拠」が挙げられている。

 「有効なデータ主体(個人)の同意」とは、個人が自由、特定の情報提供を受けた上で、不明瞭でない意思表示とされる。「法的な正当化の根拠」の例は、(1)個人が当事者として契約を履行するために必要な処理、(2)企業などの管理者が法的義務を順守するために必要な処理、(3)管理者もしくは第三者によって追求される正当な利益のために必要な処理――とされる。

 前者の代表的なケースがオプトインになるが、「個人が同意した」という根拠の厳密性を問われた場合の定義が難しい。例えば、企業がウェブサイトで個人データの利用目的などを提示して、ユーザーが同意のチェックボックスに入力したとしても、その行為が「不明瞭でない意思表示」のもとによる同意であることを証明しなければならない事態があり得る。その状況もケースバイケースであり、規制当局の判例などを注視せざるを得ないという。

 後者について阿部氏によると、例えば、ANAのような航空会社では利用者が国際線に搭乗する際のパスポートチェックがあるという。この作業は航空法で定められた本人確認作業となることから、法的な正当化の根拠の(2)に該当し、規制当局にも認められる。しかし、仮にパスポートの個人情報の利用目的を営業行為といった別のものとする場合は、他の「正当化の根拠」を必要とするため、その根拠をどうするかが課題になる。

 また、個人データの第三国移転に関して、GDPRでは原則として禁止しており、一定の要件を満たした場合のみ移転が許可される。許可される場合の一つが、欧州委員会が欧州と同等のデータ保護環境を備えていると認定(「十分性認定」と呼ばれる)した国や地域に対する移転である。6月7日時点で日本は「十分性認定」を受けていない。日本の個人情報保護委員会は、欧州委員会と早期の「十分性認定」を行う方向で共同作業を進めることに合意しているが、現状では、第三国移転における「正当化の根拠」がどうなるか注視せざるを得ないという。

GDPRの対応は進めるべき

 岩瀬氏が解説した「人権意識」や「正当化の根拠」といったポイントは、企業がGDPRの対応に取り組む上で、理解しておかなければいけない基本にあたるという。阿部氏は、GDPRへの対応に伴う作業があまりに広範かつ複雑で、明確ではない部分も多いだけに、まさに全社規模で臨む一大プロジェクトになるだろうと話す。

 既にGDPRが施行されている以上、対象になり得るにもかかわらず作業をしていない状況は非常に危険であり、違反や制裁による経営リスクに直面する恐れがある。阿部氏は、改めてGDPRの対応とはリスクマネジメントであり、リスクを適切に把握した上で、できる部分の作業に着手していることが重要だと説く。現時点では、企業がGDPRの目的を理解し、計画に基づいて対応を進めていることを規制当局に説明できるようにしておくことが望ましいという。

 欧州の企業であっても、GDPRに十分な対応ができているところはまだ少ないといい、世界中の企業にとってGDPRへの本格的な対応は、これからという状況にあるようだ。岩瀬氏は、海外企業の多くが「人権意識」や「正当化の根拠」といった勘所を押さえて取り組んでいると話し、日本企業も着実にその対応を進めてほしいと話している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]