連載
» 2019年04月23日 10時00分 公開

開発段階から検討必須! あなたの製品のセキュリティ対策(3):IoT機器に求められるGDPR対応、対策のポイントを解説 (1/2)

2018年5月、欧州連合(EU)の個人情報保護法であるGDPR(一般データ保護規則)の適用がスタートした。GDPRはデータ漏えいが起きた場合の罰則規定が非常に厳しいことから企業に大きな動揺を与えている。本稿ではGDPRについて今一度簡単におさらいし、IoT機器の開発でGDPR対応に必要な考え方と対策のポイントについて解説する。

[貝田章太郎/テュフ ラインランド ジャパン,MONOist]

 2018年5月、欧州連合(EU)の個人情報保護法であるGDPR(一般データ保護規則)の適用がスタートした。GDPRは企業が求められる対策が詳細、かつ多岐にわたることもさることながら、データ漏えいが起きた場合の罰則規定が非常に厳しいことから、企業に大きな動揺を与えている。

 特に日本の製造業界に与える影響はとりわけ大きいものとなった。IoT(モノのインターネット)機器には製品内部、もしくは製品を制御するためのシステム(多くの場合はインターネット越しに接続するシステム)に何らかの個人情報(Personal Identifiable Information、以下PII)が保存されるケースが多い。氏名、年齢、電話番号、メールアドレスなどはもちろんPIIに該当し、写真データに含まれるGPSの位置情報、インターネットに接続した際のIPアドレスなどもPIIに該当すると判断されているため、守られなければいけない情報は多岐にわたる。そのため海外に輸出される製品については、設計段階からGDPRを意識することが求められるようになった。

 本稿ではGDPRについていま一度簡単におさらいしたうえで、IoT機器の開発においてGDPR対応するために必要な考え方と、対策のポイントについて解説する。

おさらい――GDPRとは

 GDPRが定められた目的は大きく分けて2つある。まず第1に、ヨーロッパ市民と居住者が、自分の個人情報をコントロールする権利を取り戻すことである。自分のデータが知らないところで勝手にやりとりされプライバシーが侵害されないように、ユーザーは企業などが保持する自分の情報にアクセス、訂正、削除などを求めることができる。また企業などがPIIを収集する場合、何の目的のため、どのようなデータを収集するのか明確にすることも求められる。

GDPRの概要(クリックで拡大) 出典:テュフ ラインランド ジャパン

 第2に、欧州連合域内の規則を統合することで欧州との国際ビジネスに必要な規則を一本化することにある。1995年に採択されたEUデータ保護指令ではEU加盟国およびEEA加盟国に対し、個人情報保護に関する国内法規の立法を要求していた。これには、それぞれの加盟国で個人情報保護に対する要求事項やレベルが異なっていたため、これらをシンプルに一元化することが求められていたという背景がある。そのため指令から規則に格上げされることとなった。

 EUデータ保護指令よりもGDPRが企業に大きなインパクトを与えるのは、その罰則金額が莫大(ばくだい)だということに起因する。罰金額は最大で全世界の年間売上の4%、もしくは2000万ユーロ(およそ26億円)にも上る。実際、2019年1月にフランスの政府機関CNILはGoogleにGDPR違反として5000万ユーロ(およそ63億円)の巨額な罰金を科すと発表した。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.