EUデータ保護規則(以下、GDPR)が2018年5月に施行されて8ヶ月以上が経過しました。GDPRでは違反時の高額な制裁金が課されている点(最大2,000万ユーロまたは全世界年間売上高の4%の制裁金)が一つの特徴でもあり、直近では2019年1月21日にフランスのデータ保護機関であるCNILが、米IT大手グーグルに対して、GDPR違反として5千万ユーロ(約62億円)の制裁金を課すことを公表し、話題となっています。
本記事では、GDPR施行後、EU各国におけるGDPR違反による制裁事例を取り上げ、これら制裁事例のうち、特に不十分な安全管理措置が問題とされた事例を中心に、GDPRにおいて求められるセキュリティ対策について考察します。
制裁金が実際に課せられた事例とは?
GDPR施行後、フランス、ドイツ、オーストリア、ポルトガルのデータ保護機関がGDPR違反による制裁金を事業者に課した事例があります。それぞれの事例の概要は以下のとおりです。
① フランスの制裁事例
プライバシー保護団体等から、グーグルのターゲティング広告等におけるユーザの個人情報の取扱いに関する合法的根拠がないとして、フランスのデータ保護機関であるCNILに対して申し立てがなされ、調査の結果CNILは主に以下の2点の違反を指摘しました。
- 1. 情報の透明性の欠如
データ処理の目的やデータ保管期間、ターゲティング広告に用いられるデータ種別などの情報が複数の文書やサイトに散らばっており、ユーザはこれらの情報を確認するために5~6段階ものアクセスが必要になっている。 - 2. ユーザの同意取得は無効
個人データを取扱う際にはユーザの同意が必要となるが、同意取得時に、グーグルの各サービスにおいてどのように個人データが取扱われるのかに関する十分な説明がされていない。また、取得された同意も、GDPRで求められる「特定され(specific)」、「不明瞭でない(unambiguous)」同意ではない。
これにより、CNILはグーグルのGDPR違反を認め、5千万ユーロ(約62億円)もの制裁金を課すことを公表しました。
② ドイツにおける制裁事例
チャットプラットフォームを提供しているあるドイツ企業が、2018年9月にハッキングにあい、33万人分の個人データが公開されてしまうという事案が発生しました。また、データ保護機関等に対するデータ漏洩通知において、当該企業はユーザのパスワードを暗号化していない状態で管理されていたことも明らかになりました。
本件に対して、バーデン=ヴュルテンベルク州のデータ保護機関(LfDI)は、「個人データの仮名化又は暗号化」を求めるGDPR第32条1(a)に対する違反であると判断し、2万ユーロ(約250万円相当)の制裁金を課しました。
なお、GDPRの第83条(4)(a)では、第32条違反に対しては1,000万ユーロ以下又は世界年間売上高の2%以下の金額が課されると規定されていますが、LfDIは、当該企業によるデータ保護機関およびデータ主体に対する迅速な通知や協力的な対応、および改善措置の内容などを踏まえて、規定で定められる制裁金と比較すると相対的に低い金額になった、とコメントしています。
③ オーストリアでの制裁事例
オーストリアの事例は、ある企業が敷地内に設置されていたCCTVカメラが、歩道等の公共スペースの監視もしていたというものです。本件に対して、オーストリアのデータ保護機関(DSB)は、当該企業は歩道をCCTVカメラが監視する正当な理由がなく、また監視していることを十分に明示していなかったこととして、GDPR違反としました。GDPR第35条では、「公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合」には、データ保護影響評価が必要であると規定されています。
本違反行為に対して、DSBは当該企業の売上高を考慮し、4,800ユーロ(約60万円相当)の制裁金を課しています。
④ ポルトガルでの制裁事例
ポルトガルの事例は、ポルトガルのある病院における事例です。本病院では、医者が296人しか存在していないにも関わらずアカウント上は985人のアクティブな医者アカウントが存在することや、全ての医者が全ての患者データにアクセスできるようになっていたこと、更には医者以外のスタッフも診療情報にアクセスすることができていたこと等が、ポルトガルのデータ保護機関(CNPD)の調査の結果明らかにされました。
本件に対して、CNPDは、病院側の以下3点のGDPR違反を指摘しました。
- 「その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ必要のあるものに限定」する、いわゆる「データの最小化」がなされていなかった点(GDPR第5条1(C))
- 個人データの取扱における「完全性および機密性」が遵守されていなかった点(GDPR第5条1(f))
- 「取扱システムおよび取扱サービスの現在の機密性、完全性、可用性および回復性を確保する能力」の欠如(GDPR32条1(b))
本CNPDの指摘に対して、病院側は、利用しているITシステムはポルトガルの健康省から提供されたシステムであるため、本システムのセキュリティ対策については病院側の責任ではない点を主張しました。CNPDはこの病院側の主張を認めず、セキュリティ対策の実施責任は病院側にあると判断し、十分なセキュリティ処置がなされていなかった点をGDPR違反とし、病院に対して40万ユーロ(約5千万円相当)の制裁金を課しました。
求められるセキュリティ対策
上記の制裁事例のうち、本記事では、特に『セキュリティ』の観点で違反が認められたドイツおよびポルトガルの事例をもとに、GDPRで求められるセキュリティ対策について考えてみたいと思います。これら事例から示された、少なくとも求められる具体的な対策としては以下の3点が指摘できます。
GDPRで求められる対策① 『パスワード管理時の暗号化』
一般的に、パスワード入力等におけるインターネットの通信の暗号化は既に多くの企業が導入していますが、パスワード管理時の暗号化(ハッシュ化)保存は実施していない企業もあり、この点での対策の遅れがセキュリティリスクとして以前から指摘されていました。
ドイツの事例は、まさにこのリスクが顕在化した事案であるといえるでしょう。本事例にて、GDPRで規定されている「個人データの仮名化又は暗号化」遵守にあたっては、パスワードの暗号化での管理が明確化されたと指摘できます。
なお、GDPRおよびGDPRのガイドライン等を策定する欧州データ保護会議(EDPB)は、現在のところ具体的な仮名化や暗号化に関する採用すべき手法等についてまで踏み込んだ指摘はしていませんが、例えばフランスのデータ保護機関(CNIL)が公表している「個人データのセキュリティに関するガイドライン」では、パスワード管理においては、「少なくともソルトもしくはキーを用いてハッシュ化する」ことを基本対策として指摘しています。(参考)
GDPRで求められる対策② 『アクセス管理の徹底』
そして、ポルトガルの病院の事例からは、基本的なセキュリティ対策であるアクセス管理の徹底が改めて重要だということが示されました。アクセス管理としては、一般的に以下の観点に基づく対応が最低限必要になります。
- ID発行時:特定個人に紐づくIDを発行する。”admin”などの共用せざるをえないIDについては、個人を識別追跡できるよう設計する。
- ユーザ認証:認証にあたっては、パスワードやトークン、生体認証などから1つ以上の認証を導入する。
- アクセス先の限定:ユーザ種別に応じて、アクセス先を限定する。
前述の通り、ポルトガルの病院の事例は、296人の医者に対して、985もの医者のアカウントが発行されており、このことは上記のID発行・ユーザ認証・アクセス先限定のいずれもが満たされていなかったといえます。
このように、ドイツおよびポルトガルの事例から、GPDR準拠において求められる具体的なセキュリティ対策が示されています。そのため、これらの制裁事例から、『GDPRの条文上では定められていないにも関わらず求められるセキュリティ対策』を理解することができます。
実際には、GDPRに基づきEU加盟国が定める自国の個人情報保護法等を準拠する必要があるため、EU各国の個人情報保護法および関連するガイドラインやベストプラクティスを踏まえた対応が求められます。そして、上述の事例等で指摘された、パスワード保存時の暗号化やアクセス管理などは基本的なセキュリティ対策であり、現在では日本も含めた世界各国でのグローバルスタンダードになっているといえます。
GDPRで求められる対策③ 『違反時の速やかな報告』
ドイツの事例では、情報漏えいやセキュリティ違反が明らかになった場合には、速やかに監督機関等に報告することが、制裁金の算定時にも考慮されることが示されました。
GDPRでは、データ漏洩通知義務が規定されており、72時間以内の通知が義務付けられています。これは、迅速に通知をしてデータ保護機関と連携して対応することで全体的な被害を低減することができるため、GDPRの中でも重要な規定といえますが、改めてこの規定の重要性が示されたといえるでしょう。
おわりに
セキュリティについて規定するGDPR第32条では、管理者・処理者に対して「適切な技術上および組織上の措置を実装する」ことを求めていますが、何が適切な措置であるかについては必ずしも明確には規定されていません。したがって、セキュリティ対策に関して、事業者は、自社が提供するサービスや取扱う情報、取り巻く環境やリスク等を踏まえて、個別に判断することが求められます。
この点で、GDPRを踏まえてEU各国のデータ保護機関等が策定・公表しているガイドライン等(例えば、前述のフランスCNILのガイドラインや英国のサイバーセキュリティセンターおよびデータ保護機関であるICOが発行しているガイドライン)は判断時の参考になるでしょう。
また、あわせて、今後はGDPRに基づく制裁事例も増えてくると考えられるため、その制裁事例についても注視することで、「どのようなセキュリティ対策が求められるのか」という情報収集をすることも重要になってきます。このようなガイドラインや事例等も含めて、各社でのセキュリティ対策の見直しが必要になっているといえるでしょう。
特にセキュリティや安全管理措置違反を指摘された事例に関しては、具体的に求められる措置についても言及されており、GDPRの対象とならない日本事業者にとっても、参考になる点も多いと考えます。
日本においても個人情報保護法に基づく安全管理措置が求められますが、この点ではGDPRとほぼ同様の措置が求められているため、日本の事業者もこれらGDPR制裁措置の事例も踏まえ、自社の対策状況を確認・見直すきっかけにしていただければと思います。