世界に拡がるプライバシー保護・サイバーセキュリティ法制の制裁事例と教訓 ~皆様の会社が個人データを漏洩した場合、いかにダメージを小さくするか?その事前対策とは?~

行き過ぎたデータ利活用が引き起こしたプライバシー侵害を反省し、GDPR(一般データ保護規則)をはじめとして、世界中で個人データ保護の規制がより厳しいものになりつつある。違反した企業には莫大な制裁金が課され、信用格付けや株価の低下も追い打ちをかける。リスクをゼロにすることは難しいが、リスクをコントロールすることはできる。2つの制裁事例をもとに、今後考えるべきセキュリティ対策とコンプライアンス対策を考察する。

株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部長
小川 晋平

(2019年10月23日開催「Lead Initiative 2019 ~インターネットの力でビジネスを前に~」講演レポート)

目次
  1. 世界に広がるプライバシー保護の規制強化
  2. GDPRの概要と想定されるリスク
  3. BAとマリオットの情報漏えい事案 制裁金の明暗を分けた要因とは
  4. 規制強化の流れをリーガル面/IT実装面の両面から支援

世界に広がるプライバシー保護の規制強化

プライバシー保護やサイバーセキュリティを目的とした規制強化が世界的な潮流となりつつある。国連貿易開発会議(UNCTAD)によると個人データ保護・プライバシー関連法がある国は、世界全体(調査対象:185ヵ国)の58%にあたる107ヵ国にのぼる。

規制強化が世界に広がる背景には、行き過ぎたデータ利活用を反省し、個人の情報と権利を守るという狙いがある。個人データの囲い込みは自国産業の保護につながり、他国との交渉も有利に進められるという政治的な理由も見え隠れする。

個人データ保護・プライバシー関連法としては、EUのGDPR(一般データ保護規則)やCookie法と言われるePrivacy Directive(eプライバシー指令)などが代表的だ。ロシア、中国、ベトナムなど社会主義圏ではサーバ設備などの国内設置を求めるデータローカライゼーション規制が拡大している。米カリフォルニア州ではCCPA(カリフォルニア州消費者プライバシー法)が2020年1月から、ブラジルでも2020年8月から個人情報保護を目的とした新たな法制が施行される。

このように各国で様々な法制整備が進んでいるが、なかでも世界に大きなインパクトを与えたのがGDPRである。その後に続く各国の個人データ保護・プライバシー関連法も、これをお手本にしているものが少なくない。「GDPRを軸に据えることで、世界で通用するデータ保護対応が可能になります」とビジネスリスクコンサルティング本部で本部長を務める小川 晋平は述べる。

GDPRの概要と想定されるリスク

GDPRはEEA(欧州経済領域)に参加する31ヵ国に適用される経済法である。一般データとあるが、基本的には「個人データの保護」を目的とし、その処理と移転のルールを定めたもの。販売代理店などを含めてEEAに拠点のある企業、拠点がなくともEEA所在者に物やサービスを提供もしくは監視している企業が対象になる。「現地に拠点がなくてもEEA内の企業と直接・間接的に取引している企業、EEA内のユーザーにオンラインサービスなどを提供する企業も対象になるため、グローバルにビジネスを展開している企業であれば、ほぼすべてが対象になります」と小川は話す。

ではどのような対応が求められるのか。まず個人情報の取得には、本人の明確な同意が必要になる。その同意はいつでも撤回可能だ。データの削除権、データポータビリティ権、EU域外への個人データ移転、プロファイリングを含む自動的意思決定は原則禁止されている。「自動的意思決定とはAIによる意思決定のこと。すなわち、本人の明確な同意がない限り、AIによる個人データの活用を禁止しているのです」(小川)。透明性の高い厳格な情報の管理と運用を求めているわけだ。

このルールに違反すると莫大な制裁金を課される。制裁金は全世界売上の4%以下もしくは2000万ユーロ以下のいずれか高い金額が適用される。例えば、1兆円企業なら制裁金は400億円相当になる。ビジネス上のリスクも大きい。EU域内での直接的販売機会を損失し、社会からは個人データを大切にしない企業とのレッテルを貼られる。「顧客離れ、パートナーの取引停止、株価や信用格付けの低下は避けられないでしょう。情報管理を疎かにされた被害者による損害賠償訴訟、取締役の善管注意義務違反による訴訟リスクもあります」と小川は指摘する。

こうしたリスクに備えるためにも、法令の定める対応を遵守することは必須の取り組みである。しかも、違反が発覚した場合、対応を遵守しているか否かで“量刑”の明暗が分かれることもある。次に紹介する2つの事例は、これを如実に物語る教訓と言えよう。

BAとマリオットの情報漏えい事案 制裁金の明暗を分けた要因とは

2018年9月、航空大手のBritish Airways(以下、BA)は50万人に及ぶ顧客情報の漏えいを発表した。原因は自社WebサイトのITセキュリティの不備を突かれたこと。顧客情報にはクレジットカード情報、住所、連絡先、いつからいつまで旅行をしているといった二次被害につながる重大なプライバシー情報が含まれていた。事態を重く見たイギリスの個人データ保護監督機関ICO(Information Commissioner’s Office)は、2019年7月8日、全世界売上の1.42%に相当する約250億円の制裁金を課すと発表した。

同じく2018年9月、世界屈指のホテルチェーンであるマリオット・インターナショナル(以下、マリオット)は全世界3億3000万人(EEA所在の個人は約3000万人)に及ぶ顧客情報の漏えいを発表した。2016年に買収したスターウッドグループの予約サイトの脆弱性を突いた不正アクセスにより、顧客データベースがコピーされていたことが原因だ。英ICOは大規模なプライバシー侵害度合いを鑑み、2019年7月9日、全世界売上の約0.62%にあたる約135億円の制裁金を課すと発表した。

BAは50万人の顧客情報漏えいで約250億円の制裁金なのに、マリオットは3億3000万人で約135億円。マリオットの方が被害規模は大きいのに、制裁金がBAより遥かに低いのはなぜか。「理由は両社のセキュリティ対策・体制の違いによるものです」と小川は指摘する(図1)。

図1 BAとマリオットのインシデント対応と結果
情報漏えいの規模はマリオットの方が大きいのにセキュリティ対策・体制の優劣が制裁金に大きく影響を及ぼした

BAはSOCを導入しておらず、情報漏えいは不審なメールを受信した顧客の指摘によって発覚した。クレジットカード番号を含む顧客情報も平文で管理していた。それに対し、マリオットは不正アクセスを自社のSOCで検知し、自ら通報。顧客情報もすべて暗号化して管理していた。この違いがポジティブ要因となり、制裁金に大きな差が生まれたわけだ。「仮にBAが0.6%の制裁金なら150億円程度は減額される計算です。年間数千万円のコスト負担で済むSOCを入れていなかったために傷口を広げてしまったのです。また暗号化はほとんどコストをかけずに実装できます。手付かずの企業は、直ちに顧客情報を暗号化すべきです」と小川は訴える。

規制強化の流れをリーガル面/IT実装面の両面から支援

2つの事例から法制対応の重要性と教訓を紹介したが、冒頭で述べたようにプライバシー保護やサイバーセキュリティを目的とした規制強化は世界的な流れである。GDPR以外にも、その執行力とリスクを理解しておくべき法制がある。

例えば、CCPAはカリフォルニア州の州法にも関わらず、アメリカでビジネスをしている日本企業の多くが対応を迫られる。「一人最低100ドルの損害賠償を法律で保証しているため、法令に違反すると巨額の賠償金は避けられない。2020年1月より施行のため、速やかな対策が必要です」と小川はアドバイスする。

また英国、フランス当局から広告Cookieに関する規制強化のアナウンスが相次いで発表された。オンラインターゲティング広告の監視を強め、本人の同意の意思表示に関するガイドラインを2019年7月に公開。半年の猶予期間後、2020年1月より実施される。こちらの対応も待ったなしの状況になってきた。

ドイツでは20名以上の従業員がPCを使う場合、DPO(Data Protection Officer:データ保護責任者)を任命し、当局に届ける義務がある。しかし、実際の管理業務を行わない名義貸しの“フェイクDPO”が横行。当局が監視の目を強めているため、注意が必要だ。

プライバシー保護の規制強化に伴い、データローカライゼーションの動きにも変化が見られる。その象徴が米国の「Privacy Shield」の無効問題である。情報漏えい対策を届け出て米国商務省からお墨付きを得た米国企業は、EUから個人データを移転することができる「セーフハーバー」という枠組みがあった。現在はPrivacy Shieldという名前で同様の仕組みが引き継がれているが、2018年8月に欧州議会から、この停止勧告が出された。特例は認めないというわけだ。「EUと米国の政治バランス次第では、今後Privacy Shieldが無効になる可能性があります。そうなると、当然EUから米国へのデータ移転は違法となり、現在利用しているクラウドサービスやその運用を抜本的に見なさなければなりません」と小川は話す。

IIJは世界水準のプライバシー保護基準「BCR(Binding Corporate Rules)」に準拠するルールを策定し、2016年10月にGDPRの監督機関に提出。まもなくその承認が下りる見込みだ。承認が得られれば、世界展開するクラウドベンダーとしては世界初となる。IIJサービスがGDPRに完全に法的対応していると認定され、世界中のどこにでもEUの個人データを適法に移転可能となる。「将来の法的問題を回避する上でも、個人データを扱うデータベースやファイルサーバなどはIIJ GIO(ジオ)によるマルチクラウド構成が有効です。制裁金の増減を左右するSOCに関しても、専任チームがお客様のSOC運用をサポートする『IIJ SOCサービス』で対応可能です」と小川は語る。

世界のプライバシー保護法制およびIT対応を支援する情報・機能を提供する「IIJ ビジネスリスクマネジメントポータル」も運営している(図2)。「すでに1400社以上の利用実績があります。課題を抱えるお客様は、ぜひ活用してほしい」(小川)。また弁護士を含む経験豊富なコンサルタントが中心となって、各国の個人データ保護法・サイバーセキュリティ法対応をリーガル/IT実装の両面から支援することも可能だ。

図2 IIJ ビジネスリスクマネジメントポータルのトップ画面
世界のプライバシー保護法制の専門家による最新動向レポート、実務で使えるアドバイスのほか、テンプレートなどの対策ツールも提供する

世界に広がるプライバシー保護やサイバーセキュリティの規制強化の流れにいかに対応するか。IIJは今後も世界動向を注視し、日本企業のITセキュリティ対策やコンプライアンス対策をトータルにサポートしていく。