インターネットイニシアティブ(IIJ)は2017年1月25日、欧州連合(EU)で2018年5月から施行が始まる個人情報保護法「GDPR(General Data Protection Regulation)」に関する報道関係者向け説明会を開いた。GDPRはEUで個人情報を取り扱う企業に対して、厳しい規則と多額の制裁金を科す法律だ。IIJ Europeの小川晋平ディレクターは「多くの企業でGDPRへの対策は不十分である」として、迅速な対応が必要だと注意を呼びかけた。
GDPRは企業がEU内で個人情報を取得する場合に、データの処理と移転に強い制約をかけるものだ。データの処理では、個人に対する説明や同意の取得といったことから、データの保管や取扱いなどにこれまで以上のセキュリティ対策が必要になる。データの転移では、EU内で取得した個人情報を欧州経済圏の外に転移することを原則的に禁止し、一定の要件を満たした場合に限り転移を許可する仕組みをとる。
要件に違反した場合、企業が負担する制裁金は最大で、全会計年度全世界売上の4%以下、もしくは2000万ユーロのいずれか大きい方の金額となる。一方、十分なセキュリティ対策やインフラ整備に取り組んでいた企業の場合、対策に応じて制裁金が減額になる仕組みだ。対策に十分な投資をかけられない小規模な企業でも、セキュリティアセスメントの実施や、中期的な対策計画の立案だけでも減額の対象になる。
IIJは、GDPRへの対応策として二つの取り組みを紹介した。一つはITシステムの調査や必要な対策、運用までを一括して支援する「IIJ GDP対策ソリューションパック」の提供だ。各企業別にGDPRへの対応に必要となるアセスメントや、セキュリティ対策、運用コンサルティングなどのサービスを提供する。
もう一つの対策は、GDPRに対応したクラウドサービスの提供だ。IaaS(インフラストラクチャー・アズ・ア・サービス)などのセキュリティ対策で監督機関のお墨付き(拘束的企業準則:BCR)を受けることで、企業グループ内の個人情報を自由に転移できるようになる。BCRには申請に時間や費用はかかるが、情報転移ごとに標準契約条項(SCC)を締結する手間を省ける。
IIJは、データ転移の増加やEU域以外での個人情報保護法の成立などを見こしてBCRの取得を推奨する。同社はIaaS企業として世界で初めてBCRを申請しており、2017年秋までに承認を目指すとしている。
