GDPRのルールとは?
2018年5月から施行されているGDPR(General Data Protection Regulation)。
近年のサイバー犯罪やそれに伴う情報漏えいの増加を鑑み、EUにおける個人情報保護の枠組みが大幅にアップデートされたものがGDPRといえるでしょう。
↓情報漏えいは日本でも日常茶飯事
Security Nextより
GDPRというと、ルールに沿った対応ができなかった場合、その企業の全世界での売上高の4%または2000万ユーロ(ユーロ円が130円だとすると26億円)という制裁金の大きさが印象に残ります。
どんな小さいな企業であっても、対象の個人情報データについて1件でも漏えいがあった場合、適切に対応しなければ、最低でも26億円の制裁金が課されてしまう・・・
中小・零細企業にとっては、ヨーロッパ系の個人情報は極力、取り扱わないようにしよう、という意識が働くかもしれません。
▼対象となる個人情報
| EEA域内で取得した「個人データ」 ・自然人の氏名 ・識別番号 ・所在地データ ・メールアドレス ・オンライン識別子(IP アドレス、クッキー識別子) ・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因 |
EEA域内に居住している、または駐在や旅行中の人の個人情報も対象になるとのこと。
EEA域内から日本への旅行者、EEA域内に駐在させている従業員、EEA域内からオンラインショッピングでアクセスしてきた人、EEA域内に旅行に行っている人・・・
ヨーロッパ方面と少しでも関係する仕事をする場合、最低限のルールは知っておく必要がありそうです。
ちなみに、EEAとは、EU28か国にリヒテンシュタイン、アイスランド、ノルウェーを加えた31か国で構成される欧州経済領域(European Economic Area)のことを指します。
↑Wikipediaより
GDPRでは、対象となる個人情報の取扱いについて以下のようなルールが定められています。
| ・個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない。 ・処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない。 ・個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し72時間以内に通知しなければならない。 ・定期的に大量の個人データを取扱う企業などでは、データ保護オフィサー(Data Protection Officer)を任命しなければならない。 |
個人情報については安全かつ適切に管理し、万一情報漏えいした場合には、72時間以内に監督機関に通知しなければならない、ということですね。
サイバー保険でカバーされる専門機関への相談費用等
対応すべきルールのうち、情報漏えいが発生した場合、監督機関に72時間以内に通知する、ということですが、少し疑問が残るのが、情報漏えいした時点とはいつの時点なのでしょうか?
情報漏えいにつながるアクションが実際に起こった時点なのか、それに気づいた時点なのか、情報漏えいのおそれがあると気づいた時点なのか、ぱっと見良く分からないです。
それ以外にも何か注意点があるのかどうか、企業にとっては分からないためにリスクが生じているという状況もあるでしょう。
ヨーロッパ系の個人情報を少しでも取扱う企業にとって、GDPRに対して理解する努力をすることは必須ですが、それに加えてサイバー保険に加入しておくことにより、万一の際のリスクヘッジにもなります。
サイバー保険の基本カバーは情報漏えいした場合の、被害者に対する賠償金がメインですが、それに付随する機能としてコンサルティング費用をカバーしてくれる、というものがあります。
自動車事故でも相手との示談交渉について保険会社のサポートを得るように、情報漏えいが起きた(またはその恐れが生じた)際、保険会社から相談できる専門機関を紹介してもらうことができるというのはメリットが大きいですね。
▼各保険会社のサイバー保険商品名
・東京海上日動 「サイバーリスク保険」
・損保ジャパン日本興亜 「サイバー保険」
・三井住友海上 「サイバープロテクター」
・あいおいニッセイ同和 「サイバーセキュリティ保険」
・Chubb損保 「サイバー保険」
・AIG損保 「サイバーエッジ」
情報漏えいのおそれが生じた時点で、専門家を紹介してもらえて、どのように対応したらよいかの相談費用についても保険でカバーされるとしたら安心感が得られるかもしれませんね。
保険会社にとってもできるだけ早く適切な対応を行ってもらうことで、最終的な保険金支払額が抑制されれば良いので、情報漏えいの事故が起こった(またはその恐れがある)際には顧客と保険会社の利害は一致しているといえるでしょう。
(注)記載のある各保険については一般的な内容の説明です。
