GDPRとは
GDPRとはGeneral Data Protection Regulationの略で、EUにおける個人情報保護の枠組みであり、2018年5月に施行されました。
これまでもEUでは個人情報保護に関する法制度がありましたが、ITの進化に伴い、企業が個人情報を扱う件数やサイバーリスクの増加などを鑑み、法制度が強化・アップデートされた、ということでしょう。
世界的な規模の情報漏えい事件でいえば、以下のようなものが有名です。
・米ヤフー30億人のユーザーアカウントが侵害(2017年)
・Ebayアカウント情報1億件以上漏えい(2014年)
・ソニーPlayStationNetwork情報1億件漏えい(2011年)
ちなみに、日本国内においても数十件から数百件レベルの情報漏えいは日常茶飯事。
(Security NEXTより)
GDPRで対象となる個人情報は、EU内に居住する個人の情報とのことですが、たとえばEU内に拠点を持つ日本企業も、当然その駐在員などの情報を扱うでしょうし、EU内に拠点がなくてもEU域内へ何らか商品やサービスを提供する場合も対象になるようです。
関係する、または関係しそうな企業においては、GDPRに則ったルールを遵守する必要があり、それに違反した場合は最大でその企業の全世界での年間売上高の4%または2000万ユーロ(約26億円/1€=130円計算)のいずれか高いほうを制裁金として支払わなければならない、という厳しいものになっています。
GDPRに対応する保険はあるのか?
情報漏洩に関する保険といえば「個人情報漏洩保険」(各保険会社によって商品名は異なる)がありますが、海外でなされた損害賠償請求は対象外になっているケースが多いようです。
個人情報漏洩保険の上位商品として「サイバー〇〇保険」があります。
これも保険会社によって商品名がいろいろありますが、だいたい「サイバー」がつきます。
・東京海上日動 「サイバーリスク保険」
・損保ジャパン日本興亜 「サイバー保険」
・三井住友海上 「サイバープロテクター」
・あいおいニッセイ同和 「サイバーセキュリティ保険」
・Chubb損保 「サイバー保険」
・AIG損保 「サイバーエッジ」
一部の保険会社では「課徴金補償」もしており、公的機関により支払いを命じられた課徴金に対して保険を払えます。ただし、金額は最大でも数千万円ほどのようでとても26億円に備えることはできません。
制裁金に対して保険でカバーすることはほぼできないので、
・EUに若干でも関係ありそうな企業はしっかりGDPRのルールを理解すること。
・セキュリティ対策を改善し続けること。
が重要でしょう。
(注)記載のある各保険については一般的な内容の説明です。