NTTデータ、GDPR違反で日本企業初の制裁金求められるIT対策とは

2022年11月10日、NTTデータスペイン子会社がGDPR（EU一般データ保護規則）違反によりスペイン当局から処分を受けたことが明らかになりました。2018年5月にGDPRが施行されて以来、日系企業への処分を公表するのは初めてのことです。^※1

事件の概要

NTTデータスペインが顧客管理システムを提供する保険会社が2021年8月に顧客情報の漏えい問題を起こしたことが事件の発端となりました。スペイン当局は本件について約1年かけて調査した結果、漏洩を防ぐためのセキュリティが不十分であったことからNTTデータ側にも過失があるとし、今年8月に制裁金を科していました。科された制裁金は6万4000ユーロ（約940万円）とのことです。^※1 ^※2

GDPRへの対応 ^※3

GDPRとは

GDPRとは、General Data Protection Regulation（EU一般データ保護規則）の略称で、2016年4月に制定、2018年5月に施行されました。日本語では規則と訳されますが、EU(※)域内の個人データ保護を規定する法律です。

GDPRは日本のようにEU域外の国にある企業にも少なからず影響があり、例えば子会社や支店がEU域内に存在する企業や、EU域内に所属する個人データを取り扱っている企業は個人データの取り扱いにGDPR要求事項全般もしくは一部が適用されます。GDPRは違反時の制裁金が巨額となる可能性があるため、GDPR遵守の対象となる企業は何らかの対応が必要となります。制裁金額は最大で2000万ユーロまたは企業の全世界の前年売上高の4%のいずれか大きい金額が課せられることになります。

※EU:加盟国及び欧州経済領域（EEA）の一部であるアイスランド、ノルウェー、リヒテンシュタイン

GDPRが求めているIT対策

GDPRでは第32条「取扱いの安全性」において、適切な技術上及び組織上の措置を実装することを求めています。また第33条「監督機関に対する個人データ侵害の通知」では、個人データ侵害が発生した場合、72時間以内にデータ保護監督機関に対し侵害を通知しなければならないとしています。
IT対策では主に32条、33条に関わる対策が求められます。特に32条1項では求められる項目について下記のような記述があります。

(a) 個人データの仮名化又は暗号化
(b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力
(c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力
(d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順

IT対策として一番理解しやすいのが(a)の仮名化又は暗号化です。仮名化とはデータの中の個人を特定可能な情報（氏名やメールアドレスなど）の文字列を置き換え、個人の特定が不可能な状態に加工する処理のことを言います。個人情報が含まれるデータを外部へ送信する場合、またデータベースやファイルサーバの本番データやバックアップデータが仮名化・暗号化の対象となります。ただし、仮名化については元の情報（「追加の情報」）と突き合わせることで個人の特定ができてしまうため、元の情報を分離して保管し、かつ個人が特定できないような技術的・組織的措置を施す必要があります。GDPR準拠において、より強力かつすぐに実装できる措置はやはりデータベース、ファイルサーバ内データの暗号化と考えられます。

(b)(c)で言及されている「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」の確保は、日本でも情報セキュリティの三要素（CIA）として広く一般的に知られているものです。これらを実現するためには下記のような対策が考えられます。

「機密性」の確保：ID管理、アクセス権の設定、ネットワークアクセス制御・遮断、暗号化

「完全性」の確保：編集権限の設定、改ざん検知

「可用性」の確保：システム冗長化、BCP（事業継続計画）の策定

また、(d)におけるセキュリティ対策の有効性の定期的なテスト、評価、評定をするための手順として、バックアップ・リストアテスト、セキュリティリスクアセスメント、脆弱性診断、BCP訓練などが求められます。

DataClasysでGDPRに有効なIT対策を

「DataClasys（データクレシス）」は国産のファイル暗号化・DRM/IRM (Digital/Information Rights Management) ソリューションです。DataClasysはファイルサーバやPC上にあるファイルを暗号化し、利用権限の制御を行うことが可能なシステムです。GDPRで求められるIT対策の内、(a)の個人データの暗号化、(b)の「機密性」の確保を実現することができます。

また、GDPR第34条「データ主体に対する個人データ侵害の連絡」では、「個人データの侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。」と記載されていますが、第3項には「暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合」においては、連絡を要しないとも書かれています。

NTTデータがGDPR違反による処分を受けたことで、日本企業も改めてGDPR対策の必要性を認識し、何らかの策を講じる時が来ています。その中でもIT対策を検討するのであれば、是非DataClasysによる暗号化をご検討下さい。