事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。国境を跨いだ個人データの移転(越境移転)に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。
企業が直面するデータの越境移転規制への対応
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。企業は収集した個人情報をはじめとする各種データを分析することで、ターゲットとするユーザー層の特定や、アプローチ方法の検討に役立てています。今後も企業の海外展開が加速するにつれ、海外居住者から個人データを取得する機会も増え、企業が管理するデータの量や種類が継続的に増加していくことが予測されます。
このような傾向は国境を跨いだ個人データの移転(以下、越境移転)が発生する可能性の増加を意味します。越境移転は各国のデータ保護法令を中心に規制されており、本人同意の取得などの必要な措置を講じない限りは移転を原則禁止する法令も存在します。そのため、企業がデータの越境移転を行う際には、法令違反をはじめとする各種リスクに注意を払う必要があります。
本稿では企業による個人データの越境移転に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。また、越境移転のクリアランス要件として注目されるAPEC CBPR認証(以下、CBPR認証)の概要についても解説します。
グローバルでの越境移転が発生する事例の紹介
【本事例における企業の目的】
クラウドサービスを活用することで全社の顧客データ、従業員データを一括管理しデータの統合、業務効率化、利活用促進を図りたい。
<越境移転の概要>
本事例では企業が世界各国で保有している各種データがクラウドサービスを通じて共有されます。各国からデータを参照できるようになるため、移転元となる国から移転先となる国への越境移転が発生することになります。これまでの企業活動を通じて取得したデータを全社で共有し、新たなサービスの創出やデータ利活用の推進を図る企業が増えており、グローバルでの越境移転規制への対応を要請されるケースが多く確認されています。
<越境移転に伴うリスク>
移転元および移転先(データの参照先を含む)が複数国にわたる場合には、遵守すべきデータ保護法令が増え、それに伴って法令違反のリスクも高くなります。また、万が一データの侵害や漏えいなどが発生した場合には、企業のレピュテーションに対する影響も甚大になることが予想されます。企業には、個人データの移転元と移転先の洗い出しなど必要な対策を講じることに加え、グローバルでデータを共有するにあたってのリスクをどのように低減させるか検討することが求められます。
越境移転規制をクリアする手段としてのCBPR認証
前述の事例においては、移転元国のデータ保護法令で課せられる越境移転規制への対応が求められ、データ主体への必要事項の通知、本人同意の取得、越境移転契約の締結などの措置が必要になります。どのような措置を講じる必要があるかは各国の法令要件に準じる必要がありますが、国際認証の取得により越境移転規制をクリアする方法もあります。本稿では、その一例としてCBPR認証を紹介します。CBPRは2011年に合意された、APEC域内での越境プライバシールールです。2023年5月末時点では日本、米国を含む9カ国・地域※がCBPRに参加しており、個人データの越境移転についてAPECプライバシー原則に適合しているかを認証する仕組みとしてCBPR認証が存在します。
※:2023年5月末時点で日本、米国、メキシコ、カナダ、シンガポール、韓国、オーストラリア、台湾、フィリピンが参加。
CBPR認証を取得した企業は、CBPR参加国間であれば個人データの越境移転が認められます。CBPR参加国間において前章のような個人データの越境移転が発生し、同意取得やデータ主体への情報提供等の措置が必要となる場合には、代替手段として認証取得による越境移転規制への対応も可能です。その他、企業にとっての取得メリットとしては、自社の企業運営においてCBPRの仕組みに適合した個人データを取り扱っていることを対外的にアピールできること、APEC域内からの苦情・相談について、CBPRの認証機関(アカウンタビリティエージェント:AA)より対応・調整の支援が受けられることなどが挙げられます。
認証の取得に向けては、企業はAAによる審査を受ける必要があり、日本であれば一般社団法人日本情報経済社会推進協会(JIPDEC)が2023年5月末時点では唯一のAAとなっています。審査項目は通知、個人情報の取得、セキュリティ対策等の項目が設定されており、企業における対応状況を質問票に対し回答する必要があります。
CBPR運営組織(CBPRフォーラム)としては新たな参加国を歓迎する姿勢を示しており、2023年4月には新たに英国が参加意向を表明しました。また、CBPRの枠組みをよりグローバルに拡大していくため、グローバルCBPRフォーラムの設立も同月に発表されています。CBPRの枠組みに参加する国が増えることにより、認証取得によって越境移転が可能となる対象国が増えること、他国企業においては認証の取得を調達要件に組み込むケースが増えてくることなどが予測され、企業にとっての認証取得メリットも大きくなると考えられます。
越境移転および認証取得にあたり企業に求められる対応
前述の事例への対応や、CBPR認証の取得にあたっては、どのような越境移転が発生し得るか、越境移転に対し自社としてどのような対策を取っているかについて確認する必要があります。大規模な個人データを複数国間に跨って移転、統合、共有することを検討している場合には、越境移転の範囲も広くなり、対応に必要な各種リソースも大きくなりやすいです。企業には、まず移転対象のデータを特定し、どの国からどの国への移転が発生するか、移転元国ではどのような越境移転規制が課せられているかを洗い出すことが求められます。洗い出しにはデータマッピングやリスクアセスメントの実行が有効であり、その結果を踏まえて対策を検討することが可能になります。
また、GDPR(欧州一般データ保護規則)や中国データ三法のように、違反時に多額の罰金や制裁を課す法令も存在します。法規制対応を考慮せずに越境移転を伴うデータの連携や集約計画を進めることは、企業にとって大きなリスクとなります。このような計画を検討中、あるいは遂行中の企業は、越境移転対応を中心に、法規制対応が考慮されているかを確認することが推奨されます。
プライバシー法規制のトレンドと企業に求められる対応
52 results
Loading...
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(6)アメリカ
各国サイバーセキュリティ法令・政策動向シリーズの第6回目として、アメリカのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
