クラウドコンピューティングが必要ですか? 今すぐ始める

GDPR とは?

Facebook/Cambridge Analytica のスキャンダルなど、消費者データのプライバシー侵害によりデータプライバシー基準の劣悪さが露呈し、世界中のユーザーがデータプライバシーに対して懸念を抱くようになりました。信頼とデータプライバシーはデジタルライフに不可欠な要素であることが、調査で明らかになっています。たとえば、データ共有と消費者行動に関する 2020 年の McKinsey の調査 では、87% の人がセキュリティ慣行に懸念のある企業と取引をしないと回答しています。また、この調査では、71% の人が機微な情報を許可なく共有した企業から離れることも明らかになりました。

消費者プライバシーの侵害に対処するために、EU は EU 一般データ保護規則(GDPR)を 2018 年 5 月 25 日に制定しました。 EU GDPR は、EU の人々のプライバシー権を保護する、消費者中心の厳格なプライバシー規制の代名詞となっています。

EU GDPR 法の背景の概要

プライバシーの権利は、1950 年の欧州人権条約以来、EU 法の一部となっています。GDPR は 1995 年の データ保護指令 95/46/EC すなわち DPA. (2)e を改訂したものであり、2016 年に採択され、EU 加盟国は 2 年以内に同法を施行することとなりました。この改訂の推進要因の 1 つは、欧州連合加盟国全体のプライバシー法を調和させることでした。GDPR の施行以来、規制の対象となる企業は GDPR コンプライアンスの確立に向けて取り組んできました。GDPR には、個人のデータプライバシーを保護するための規定があります。GDPR の第 4 条において、個人データとは「特定された、または特定可能な自然人(「データ主体」)に関連するあらゆる情報」を指すとされています。これには、個人情報、IP アドレス、生体認証などのデータが含まれます。また、GDPR ではデータクラス(機密性レベルを反映したデータの「特別カテゴリー」など)が定められており、極めて機微な情報にはより堅牢な保護レベルが求められます。

GDPR では、対象事業体とは、EU データ主体の個人データを使用するあらゆる組織であって、商品やサービスを提供したりオンラインでのふるまいを監視したりするものを指します。対象事業体は、データ管理者とデータ処理者と見なされます。データ管理者は、同意とアクセス管理に責任を負う主体であり、データ処理者は、管理者に成り代わってデータを処理します。GDPR の適用範囲には、EU 域内の顧客に商品を販売し、当該顧客の個人データを収集する、欧州および EU 域外の企業も含まれます。GDPR は企業の規模ではなく企業のデータ取り扱い活動に関係しているため、その影響はあらゆる規模の企業に及びます。

Akamai は組織による GDPR の遵守をどのようにサポートするか

GDPR コンプライアンスの中心は、データ保護とデータプライバシーです。 Akamai のセキュリティソリューションは、インテリジェンスとエンドツーエンドの保護を提供し、データを漏えいや偶発的な暴露から保護します。 Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供することでデータのセキュリティとプライバシーを保護し、セキュリティチームがセキュリティ投資の効果と ROI を最大限まで引き出せるように支援します。

ゼロトラスト・セキュリティ・アーキテクチャの 3 つの主要原則を表す図。

Akamai は、以下の 3 点を提供します。

  • ゼロトラスト・セキュリティを実行し、IT 環境、IoT 環境、OT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム
  • 資産、アクセス、ネットワークフローの詳細な可視性
  • セキュリティポリシーの緻密な適用

GDPR が組織に与える影響

データプライバシーは消費者にとって重要です。GDPR や、米国のカリフォルニア州消費者プライバシー法(CCPA)などの同様のデータプライバシー法は、消費者と住民のデータプライバシーの原則を実施するためにあります。GDPR を遵守していない企業には、多額の制裁金が科されます。2023 年 4 月 13 日、アイルランドのデータ保護局(DPA)は 12 億ユーロの制裁金を Meta Platforms Ireland Limited(Meta IE)に科しました。これは、標準契約条項(SCC)に基づき同社が米国への個人データの移転中に、GDPR に違反したと判断されためです。  

GDPR の直接の対象となる企業に加えて、たとえば次のような組織も GDPR を遵守しなければなりません。

EU 域内の顧客と取引のある米国企業

GDPR は域外にも適用されます。そのため、EU 域外を事業拠点とする企業であっても、EU 市民とビジネスを行う可能性があるのであれば、GDPR を遵守する必要があります。このような企業は、GDPR 評価を実施して、どのようなデータ処理活動を行っているかを確認する必要があります。その後、GDPR の要件に従ってプライバシー通知を提出する必要があります。さらに、データ保護の影響評価を実施し、どのような保護措置が必要かを判断する必要があります。こういった措置には、データ暗号化、堅牢な認証手段、組織レベルのデータ保護(ゼロトラスト・セキュリティ・アプローチの導入など)などが考えられます。これらの措置をサードパーティーサプライヤーにも適用しなければなりません。

従業員数 250 人未満の小規模組織

GDPR は小規模組織も規制の対象から除外しません。個人または慈善団体という立場の企業であっても、個人データを取り扱い、処理する場合は、GDPR 規則を遵守する必要があります。ただし、小規模組織が GDPR で通常求められるレベルのデータ取り扱いに関する文書は、データを定期的に、大量に処理する場合、データ処理が権利や自由に影響を及ぼす可能性がある、または人種、民族、生体認証データなどを明らかにする場合のみです。小規模企業は、データプライバシー要件を遵守するだけでなく、データのセキュリティを確保してデータ侵害を回避するために、堅牢な認証と暗号化を提供できるセキュリティプラットフォームを探す必要があります。

GDPR の 7 つの原則

GDPR には、これを法律として支える 7 つの基本原則が定められています。これらの原則は、合法性、データ処理の理由、および同意の条件に関するものです。原則は以下の領域を対象としています。

  1. 合法性、公正性、透明性:データを処理するためには、適切な理由が必要です。
  2. 目的の制限:これは、GDPR に示されているとおり、設計およびデフォルトによるプライバシーの原則の重要な概念です。その主な目的は、データが「特定された、明示的で、正当な目的のために収集される」ことを保証することです。
  3. データの最小化:原則 2 に従い、正当に収集されるあらゆるデータは最小限のデータセットとして収集されなければなりません。
  4. 正確度:対象事業者は、収集されたデータの正確性を保証する必要があります。
  5. 保管の制限:対象事業者には、強制力のある保管制限ポリシーが必要です。
  6. 完全性と機密性:セキュリティ管理では、収集された個人データの完全性と機密性を維持する必要があります。これには、内部または外部の脅威からの攻撃を防ぐためのセキュリティ対策が含まれている必要があります。
  7. 説明責任:対策と文書により、対象事業体が GDPR を遵守していることを示す必要があります。

GDPR の 8 つのデータ主体の権利

データ主体とは、GDPR の対象となる個人データを使用して特定されうる個人を指します。GDPR の第 3 章では、GDPR を遵守するために従う必要がある 8 つのデータ主体の権利が定められています。

  1. 連絡を受ける権利(第 12 条、第 13 条、第 14 条)。
  2. アクセスする権利(第 15 条)。
  3. 訂正する権利(第 16 条)。
  4. 消去する権利(第 17 条)。
  5. 処理を制限する権利(第 18 条)
  6. データポータビリティの権利(第 20 条)。
  7. 異議を述べる権利(第 21 条)。
  8. プロファイリングを含む自動化された意思決定の対象とならない権利(第 22 条)。

また、第 34 条に定められている侵害通知規則もあります。これは、データ漏えいが「自然人の権利および自由に対する高いリスクを発生させる可能性がある」場合に、データ主体に対して「不当な遅滞なく」侵害について通知することを対象事業体に求める規則です。規制の適用を監視する公的機関である監督機関は、データ侵害に関する通知を受ける必要があります。

GDPR 制裁金

GDPR Enforcement Trackerは、GDPR 違反により科された制裁金と罰則の概要を提供しています。 2023 年 5 月時点で、制裁金の累計金額は約 27 億 9,000 万ユーロでした。GDPR Enforcement Tracker によると、制裁金が科される理由の上位 3 つは次のとおりです。

  1. 一般的なデータ処理の原則を遵守していない。
  2. データ処理の法的根拠が不十分。
  3. 情報セキュリティを確保するための技術的および組織的対策が不十分。

GDPR 違反に対する制裁金には、次の 2 つのレベルが設定されています。

Level 1:データ侵害と、データ保護の影響評価の不履行を対象とする。世界全体における年間売上総額の 2% または 1,000 万ユーロのうち、いずれか高い方。

Level 2:GDPR 要件の適切な適用(たとえば、同意およびデータ主体の権利の行使)。世界全体における年間売上総額の 4% または 2,000 万ユーロのうち、いずれか高い方。

Akamai のデータ・セキュリティ・ソリューションは GDPR へのコンプライアンスにどのように役立つか

データセキュリティと堅牢なデータプライバシーは表裏一体です。GDPR では、適切な技術的および組織的措置によってデータ侵害を防止することの重要性が認識されています。GDPR に記載されているセキュリティ管理とプライバシー対策には、暗号化や仮名化があります。データ侵害を防止するために使用すべきその他のセキュリティおよびプライバシー対策としては、ゼロトラスト・セキュリティ・アプローチによる ID およびアクセス管理(IAM)や堅牢な認証と同意があげられます。

Akamai Connected Cloud は、データアクセス制御と同意に関するきめ細かい制御を提供し、組織が GDPR へのコンプライアンスを達成し、実証できるよう支援します。これらの制御は、次のように行います。

  • 同意の取得と管理
  • アクセスする権利
  • 訂正する権利
  • 消去する権利
  • 暗号化

Akamai は、リスク管理、報告、文書化を提供して GDPR コンプライアンスをサポートしています。これを実現するのが、 ゼロトラスト戦略なのです。

よくある質問(FAQ)

GDPR は、一般データ保護規則の略称です。これは、欧州連合(EU)および欧州経済領域におけるデータ保護とプライバシーに関する EU 法の規制です。

GDPR は企業の規模ではなく企業のデータ取り扱い活動に関係しているため、その影響はあらゆる規模の企業に及びます。しかし、従業員数 250 人未満の企業は、義務が軽減され、次のことを行う必要がありません。

  1. 処理活動の記録を保持すること。ただし、定期的に個人データの処理を実行し、その処理が個人の権利や自由を脅かしたり、機微なデータや犯罪記録に関係したりする場合を除きます。
  2. データ保護責任者(DPO)を任命すること。ただし、会社の事業がデータ処理を中核的な事業活動とし、それが個人の権利と自由に具体的な脅威をもたらす場合を除きます。

Akamai が選ばれる理由

Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。

Akamai の全セキュリティソリューションをご紹介