[CODE BLUE 2019]GDPRおよびAPPIの国際企業への適用性とITセキュリティへの影響[レポート] #codeblue_jp

CODE BLUE 2019「GDPRおよびAPPIの国際企業への適用性とITセキュリティへの影響」についての参加レポートです。
2019.10.30

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

GDPRおよびAPPIの国際企業への適用性とITセキュリティへの影響 Presented by マティアス・ラッヘンマン

本講演は新たに制定されたEU一般データ保護規則(GDPR)と日本の個人情報保護に関する法律(APPIおよび補則)について解説する。企業リーダーやITエキスパートに向けて、これらの法律の適用性を回避する方法や対処法を提案し、GDPRに基づいた必要なITセキュリティ手段を解説する。 GDPRとAPPIが適用となり、データが個人データと見なされた際、日本とEUの企業は新たな取引協定「日EU戦略的パートナーシップ協定(SPA)」と「経済連携協定(EPA)」からどのように利益を受ければいいのかについて解説する。本講演はAPPIとGDPRの遵守に関する国際的ITエキスパートの疑問に答えることを目的とする。

レポート

  • GDPR
    • 欧州の個人情報の保護法です
    • 日本の個人情報保護法相当
  • APPI
    • 日本の個人情報保護法です。
  • 1.EU and Japan: new Trade Deals and Data Protection Laws
    • GDPRは、2018年5月25日から適用
    • これに対応しなければビジネスができなくなるのではないか?と危惧された
    • GDPRへどのように対応していくかが見えていなかった。
    • 韓国やインドでは、GDPRに合わせて個人情報保護法の改正
    • カルフォルニアでは、GDPRに対応した法律が施行される
    • 日本では、今年の1月からEUの間で契約が結ばれた
    • 労働水準の保護の協定とともに個人情報保護法の協定が結ばれた
  • 2.Definition of personal data, personal infomation and PII
    • PII とは、個人を特定できる情報のこと
    • 各国の個人情報というのは"ほぼ"同じレベルであるが、差異はある。
    • 呼び方も国ごとに違う
    • EU: Personal Data
    • JP: Personal Information
    • USA: Personally identifiable data(PII)
    • 来日した際に手に入れたPASMO
    • この中に格納されてる情報・要素もどこまで対象となるかは差異がある
  • 3.Applicability of the GDPR and APPI
    • GDPRとAPPIの適用について説明します
    • case.1 個人情報をEU内で収集し、EU内で処理する
    • この場合は、GDPRの適用のみで済む
    • case.2 個人情報をEU内で収集し、EUで処理し、第三国(日本)へ転送する
    • GDPRの第三国へのデータ転送が適用される
    • その後、転送先の個人情報保護法の適用が求められる
    • また、ユーザーに対して同意を得る必要がある
    • case.3 個人情報をEU内で収集し、第三国へ直接転送する
    • EUで物品やサービスを提供している場合
    • EU内でデータを収集しているのでGDPR適用される
    • WebSiteトラッキングなども対象となる
    • だた、WebSitesの訪問者がEUからきているかの判断が難しい
    • GDPRがフルで適用される
    • データプロセシングも考えていきたい
    • データを処理するサービスプロバイダーを利用する事があるだろうが、サプライチェーン攻撃された場合にサービスプロバイダーを信頼できるのかという問題がある。
    • サービスプロバイダーと適切な契約を結んでおくことで、サプライチェーン攻撃があった場合にも対応する事ができると考えている
  • 4.IT Security documentation according to GDPR and APPI
    • GDPRでは32の条項がある
    • 暗号化や機密性、完全性、可用性が求められる
    • セキュリティインシデントが発生した場合の可用性も必要である
    • それらのプロセスへのテストも必要
    • 中小企業でおこなうにはコストがかかる
    • GDPRでは可用性に重きが置かれている
    • APPIでは20の条項がある
    • 個人情報を扱うプロバイダーがセキュリティコントロールを求めてる
    • 漏洩防止やデータがlossしない事
    • APPIではデータ損失のリスクを軽減する事が求められる
    • アカウンタビリティ(説明責任)
    • ITセキュリティの対応として文書化
    • データ管理プロセスを文書化し、それらの対応が十分であるかを検証できるようしておく
  • 5.まとめ
    • データへのタグ付け
    • 個人を識別できる個人情報には適用さらる
    • これについては、GDPRとAPPIでは類似性がある
    • 個人情報保護する法律では、国を越えた対応について記載がある
    • 国を越える場合には代理人を立てる
    • 組織の対応次第でGDPRのフル適用を回避する規定もある。
  • 会場からの質疑
    • 今後、英国が脱退した場合はどうなるか?
    • 現時点では英国が脱退するかは分からない。
    • 離脱する際に協定や合意があるならGDPRではEU内と同等の対応になると思う
    • ただ、協定無き離脱がおこたった場合は、GDPRからすれば第三国と同じ扱いになる

感想

エンジニアとしてはGDPR対応でcookie使用への同意を得る仕組みが馴染み深いところですが、法そのものの比較や第三国へ送信する際の適用の違いがあること分かり、日本国外向けにサービスを作るときには参考にしなければという知見がありました。