エンタープライズリスク
情報セキュリティ
<ISO27001取得がGDPRのためにできること>
2020-02-28
GDPR(EU一般データ保護規則)
GDPRとはGeneral Data Protection Regulationの略で、EUにおける個人情報保護の枠組みです。急速なIT技術の発展によりクラウドサービスは拡大し、企業はビッグデータを利用し、顧客の行動履歴を分析し商品開発やマーケティングに活用することが可能となりました。その反面、サイバー攻撃や情報漏洩、内部不正の危険性も急速に高まり、企業による個人データの処理と移転を規制するものとして、2018年5月からGDPRの適用が開始されました。
前身のEUデータ保護指令が指令(Directive)であるのに対し、GDPRは規則(Regulation)となったため、全てのEU加盟国に直接適用されます。
日本の企業への影響は?
GDPRは日本の企業にも無関係ではありません。GDPRではEUとデータ交換する多くの組織に影響が及びました。
日本の企業が影響を受けるケースには、主に以下の3つがあります。
(1)EUに子会社、支店を有している企業
(2)EU域内に商品やサービスを提供している企業
(3)EU域内から個人データの移転を受けている企業
GDPRに定められた義務内容に違反した場合、最大で、前年度の全世界売上高の4%あるいは2000万ユーロの制裁金が課されることになっています。実際に、GDPRの適用開始1年後の2019年には、ブリティッシュ・エアウェイズ(英)に約250億円、マリオット・インターナショナル(米)には約140億円の制裁金が課され、話題となりました。いずれも、顧客データの大規模な漏洩が原因です。
個人情報の保護は、現代の企業活動における常識となりました。それは顧客からの信頼や、社会的影響のためのものでありましたが、今後はさらに高額な制裁金も課される可能性があることを念頭に置かねばなりません。
ISO27001取得がGDPRのためにできること
GDPRは、組織が個人データのプライバシーを確保するために必要なビジョンです。対して、ISO27001は組織における情報セキュリティの内部脅威に焦点を絞り、情報を保護する認証規格です。これらは当然異なるものですが、関連しオーバーラップする分野も数多くあります。その一部をマッピング(項目対比)してみましょう。
GDPR | ISO27001 | |
---|---|---|
データの機密性・完全性・可用性 | ||
|
|
|
リスクアセスメント | ||
|
|
|
ベンダー管理 | ||
|
|
IT技術の発展により、ビジネスを取り巻く環境は日々目まぐるしく変化していきます。企業が取り扱う情報が価値を持ち、同時にそれを守る義務が発生します。情報をどのように取り扱い、セキュリティマネジメントに取り組んでいくのかについて企業はセキュリティ体制を内外にアナウンスしなければなりません。
欧州の企業を中心に、GDPRとISO27001、両方に準拠していることを掲げる傾向が増えてきています。データ(個人情報を含む)の機密性・完全性・有用性を確保するために、フレームワークを構築し、インシデントの影響を最小限に抑える。ISMSの構築・運用が組織の信頼性を高め、事業の継続性をより一層強固なものにしていくでしょう。