情報セキュリティ<ISO27001取得がGDPRのためにできること>

システム認証事業本部 鈴木 雄大

2020/2/28up

GDPR(EU一般データ保護規則)

GDPRとはGeneral Data Protection Regulationの略で、EUにおける個人情報保護の枠組みです。急速なIT技術の発展によりクラウドサービスは拡大し、企業はビッグデータを利用し、顧客の行動履歴を分析し商品開発やマーケティングに活用することが可能となりました。その反面、サイバー攻撃や情報漏洩、内部不正の危険性も急速に高まり、企業による個人データの処理と移転を規制するものとして、2018年5月からGDPRの適用が開始されました。
前身のEUデータ保護指令が指令(Directive)であるのに対し、GDPRは規則(Regulation)となったため、全てのEU加盟国に直接適用されます。

日本の企業への影響は?

GDPRは日本の企業にも無関係ではありません。GDPRではEUとデータ交換する多くの組織に影響が及びました。

日本の企業が影響を受けるケースには、主に以下の3つがあります。

  1. (1)EUに子会社、支店を有している企業
  2. (2)EU域内に商品やサービスを提供している企業
  3. (3)EU域内から個人データの移転を受けている企業

GDPRに定められた義務内容に違反した場合、最大で、前年度の全世界売上高の4%あるいは2000万ユーロの制裁金が課されることになっています。実際に、GDPRの適用開始1年後の2019年には、ブリティッシュ・エアウェイズ(英)に約250億円、マリオット・インターナショナル(米)には約140億円の制裁金が課され、話題となりました。いずれも、顧客データの大規模な漏洩が原因です。

個人情報の保護は、現代の企業活動における常識となりました。それは顧客からの信頼や、社会的影響のためのものでありましたが、今後はさらに高額な制裁金も課される可能性があることを念頭に置かねばなりません。

ISO27001取得がGDPRのためにできること

GDPRは、組織が個人データのプライバシーを確保するために必要なビジョンです。対して、ISO27001は組織における情報セキュリティの内部脅威に焦点を絞り、情報を保護する認証規格です。これらは当然異なるものですが、関連しオーバーラップする分野も数多くあります。その一部をマッピング(項目対比)してみましょう。

  GDPR ISO27001
データの機密性・
完全性・可用性
  • 「無権限による取扱若しくは違法な取り扱いに対して、並びに、偶発的な喪失、破壊又は損壊」に対する保護など、データ処理における原則を明示(第5条)。
  • 個人情報の暗号化や、機密性・完全性・可用性を確保する能力について言及(第32条)。
  • 組織がデータの機密性・完全性・可用性を確保することを目的としています。
  • 組織が、セキュリティプログラムに影響を与える可能性のある内部および外部の問題を特定することを要求(条項4)。
  • 情報セキュリティの目的を決定し、それを達成するための計画を策定することを要求(条項6)。
  • セキュリティプログラムの断続的なメンテナンスの基準を設定し、規制遵守を示すため、文書化した情報を保持することを要求(条項8)。
リスクアセスメント
  • 企業は個人情報に対するリスクを評価および特定するために、データ保護の影響評価をすることを要求(第35条)。
  • GDPRのリスクアセスメントは、機密性およびリスクの高いプロセスの実行前に必須
  • 組織の資産に影響を与える可能性のある脅威と脆弱性を特定するために、徹底的なリスクアセスメントを実施し(6.1.2項)、リスクアセスメントの結果に基づき適切な情報セキュリティ対策を選定することを推奨。
ベンダー管理
  • 管理者は労働条件と処理者からの保証を確保した上で、データ保護規則(DPA)を作成(第28条)。
  • 組織がどのプロセスを外部委託するのか指定し、それらを管理下に置くことができることを確認する必要があると記載(第8項)。
  • 供給者との関係に関する具体的な方針が示され、組織が供給者のサービスを監視およびレビューすることを要求(付属書A15)。

IT技術の発展により、ビジネスを取り巻く環境は日々目まぐるしく変化していきます。企業が取り扱う情報が価値を持ち、同時にそれを守る義務が発生します。情報をどのように取り扱い、セキュリティマネジメントに取り組んでいくのかについて企業はセキュリティ体制を内外にアナウンスしなければなりません。
欧州の企業を中心に、GDPRとISO27001、両方に準拠していることを掲げる傾向が増えてきています。データ(個人情報を含む)の機密性・完全性・有用性を確保するために、フレームワークを構築し、インシデントの影響を最小限に抑える。ISMSの構築・運用が組織の信頼性を高め、事業の継続性をより一層強固なものにしていくでしょう。


 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス