TOPセキュリティ > 施行が迫るEU一般データ保護規則、対応はいかに(上)

セキュリティ

施行が迫るEU一般データ保護規則、対応はいかに(上)

2018/05/07

Thor Olavsrud CIO

 欧州連合(EU)の一般データ保護規則(GDPR:General Data Protection Regulation)は、2018年5月25日に施行となる。皆さんの会社は、GDPRへの準備が整っているだろうか。

 「GDPRのポイントは、今後いつ違反が発生するのか分からないことだ。GDPRに伴って生じるであろう課題の中でも特に難しいのが、社内で継続的なプログラムをいかに実現するかだ。これは単なる通り一遍の要件ではない。GDPRを遵守した状態をずっと維持していくためには、社内に根本的な変化が必要だ」。そう話すのは、非営利の情報セキュリティ推進団体としてサイバーセキュリティや情報リスク管理を専門に扱っている英Information Security Forum(ISF)のマネージングディレクター、Steve Durbin氏だ。

 GDPRは、EUのデータ保護法を現代化する取り組みとして、5年以上に及ぶ作業をへて、2016年4月に採択された。EU域内の住民の個人データを取り扱う場合、そのデータを処理する場所がどこであれ、GDPRが適用される。EUのデータ保護法が及ぶ範囲についても、GDPRの中に規定がある。GDPRで監督機関が持つ威力は絶大だ。違反した企業や団体に科される制裁金が巨額だからである。最大で、2000万ユーロか、または前年度の世界売上高全体の4%か、いずれか高額な方と定められている。

 米DeloitteのRisk and Financial Advisory Cyber Risk ServicesのプリンシパルであるDan Frank氏は次のように言う。「時間の針が5月25日の深夜0時を回った時に何が起きるのか、本当のところは誰にも分からない。EUに拠点を置く大勢の同僚たちから聞いた話によると、規制機関が実施する調査は多少時間がかかりそうだ。こうした規制措置が形になるには、6カ月なり8カ月なりかかるかもしれない。インシデントが起きるまでの間は、必ずしも問題はない」

 言い換えると、GDPR遵守プログラムの取り組みに出遅れたとしても、スタートは切った方がよい。

↑ページ先頭へ