世界を震撼させた新データ保護法令GDPRは、2018年9月中旬で施行後100日が経過。これまでにEU域内の企業で実際に罰則を受けた企業はなく、大きなトピックもない。しかし、欧州委員会による厳しい制裁はいつか必ずおこなわれるはずだ。改めてこのタイミングでGDPRとは何か、整理をしていく。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2018年9月中旬で、一般データ保護規則 (GDPR) が施行してから100日が経過したが、世界中の企業で緩やか、かつ確実にその影響が広がりつつある。
ビッグニュースが飛び交い、厳しい罰則がすぐさま適用されるとの予測もあったが、現時点では大きく異なる結果となっている。GDPR施行後、数時間のうちに、欧州委員会はFacebook、Google、InstagramおよびWhatsAppといった企業から提訴されはしたものの、累積での提訴数はそれほど多くなかった。しかし、追加された法令により、罰金の最高額が当初の「55.1万ユーロ(50万ポンド、日本円でおよそ7,000万円)」 から、「2,000万ユーロ (1,760万ポンド、日本円でおよそ26億円)もしくは違反企業のグローバルでの年間売上高の4%」と莫大な金額へと転じたこともあり、引き続きメディアなどの高い関心を集めていくだろう。
GDPR施行直前の状況を振り返る
GDPR施行のかなり前に、ESETの専門家は自社のコンプライアンスチェックシートを用い、「データ保護による重要な変化に対してどの程度準備しているか」について査定をおこなった。対象となったのはオンラインでのアセスメントに積極的なEU内の企業で、2017年11月から2018年5月までの半年間をかけて実施。合計27,000社以上のデータを収集した。
このコンプライアンスチェックでは、EU内の企業のさまざまな興味深い実態が浮き彫りになった。例えば、現在では多くの企業が顧客 (82.6%) と従業員 (70.2%) の個人情報 (PII) を所有している。さらに、調査対象のうち20%超の企業が個人の生体データや健康データといった類の個人情報を所有していることを公表している。
ESETのデータ保護部門の上級管理者で、ライセンス専門の弁護士であるトマーシュ・ミチョ (Tomáš Mičo) 氏は、「データ収集および処理における監査は、企業がGDPRに関して実行できる最適なアプローチと思われる。現在、この法令が施行してわずか数カ月しか経っていないが、GDPRの規則に則り対策を進める際には、GDPRの定めるコンプライアンスを徹底することしかない。そうすることで、結果がどうなるかは不透明ながらも、企業は何をすべきかが明確になり、必要な投資を把握することができる。予算編成がまだ済んでいないのなら、監査するタイミングは予算編成作業がピークを迎える時期が年間で最も適した時期となるだろう」と述べている。
その一方で、半数以上 (56%)の企業 が、データの共有方法や共有範囲、収集元などについて、GDPRに沿った個人情報収集の方針としては充分な監査がおこなわれていないことを認めている。これらの組織のほぼ半分(51.4%) が、技術的にも組織的にも、記録の処理方法ですらセキュリティ対策を文書化していなかった。さらに、GDPR施行まで残り半年という時期に、これら企業のキーパーソンの中で、GDPRによって規則がすべて変更になっていることを適切に理解できていたのは47%にとどまる結果となった。
新時代のデータ保護に関するセキュリティ対策とは
ESETによるコンプライアンスチェックでは、サイバー犯罪者による個人情報データへの不正アクセスやその悪用に対し、どのような技術的防衛策をとっているかの調査もおこなっている。
その調査結果では、サイバーセキュリティー対策で最も採用されている方法は、マルウェア検知および保護をおこなうソフトウェアの導入 (90.6%) となった。続いてブラウザーを保護するソフトウェアの導入 (87.8%)、ファイアウォールの設定 (83.6%)、利用者のアクセスを制限するソフトウェアの導入 (83.7%)、パスワードで保護されたWi-Fiネットワークの利用 (81.9%) と続いた。
暗号化ソフトウェアの利用は、GDPRの定めるように、個人情報を保護する上で重要な方法であるが、施行前の質問では調査した企業の3分の1しかこの方法を採用していなかった。調査対象の企業でもっとも多く実施されていたのは、電子メールの暗号化 (32.5%)、これに続いてローカルファイルの暗号化 (31%)、ネットワーク/クラウド暗号化 (30.5%) という回答結果であった。
ESETエンドポイント(情報機器端末)暗号化マネージャーであるデビィッド・トムリンソン (David Tomlinson) 氏によると、「収集した調査結果からは、ディスクやUSBメモリーのコンテンツを暗号化するソフトウェアを導入している企業が4分の1しかなかったことには驚きを隠せない。保護されていない機密性の高い個人データを含む機器が紛失したり、盗難にあったりしたら、関係する企業は大いに危険に晒されることになる。しかし、GDPRが施行してからは、暗号化ソフトウェアを採用する企業は増え続けているようだ。裏付けのデータはないものの、おそらく現在の採用数は施行時点を大きく上回るのではないか」と述べている。
GDPR施行から数カ月間が経過したが、今のところデータ保護当局 (DPA) が厳しく罰金を徴収するような事態には至っていない。欧州委員会は施行直後ということもあり、まだ様子見といったところかもしれない。しかし、近いうちに、違反に対して数百万ユーロといった重たい罰金が科せられるのはほぼ間違いないとみていい。まだGDPR対策ができていない企業は、早急に対策をしていくことが必要だろう。
一般データ保護規則の詳細について、ESETでは特集ページを用意している。
