{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
セキュリティー新時代(6)個人情報、法規制にも留意
2018-10-10
あらゆるモノがネットワークにつながる時代は収集される個人データの種類や量も格段に増える。国もそうしたデータの活用促進に乗り出しており、経済産業省は2017年10月に新産業政策「コネクテッド・インダストリーズ東京イニシアティブ」を発表した。企業にはビジネスチャンスだが、リスクも増えることに留意したい。
ネットにつながる機器は自動車や家電、医療機器など多岐にわたる。企業はそこから個人を識別する様々なデータを取得する。従来の名前や住所、カード番号などの情報に加え、各種センサーなどで集めた個人に関係する膨大なデータを扱うことになる。企業にはこれまでにない対応が求められる。
その際、大きく分けて2つの観点で注意が必要になってくる。1つは技術的な観点である。この連載でも説明したように、製品開発から運用までを見据えたサイバー攻撃対策が欠かせない。
2つ目は法務的な観点である。日本では17年5月に個人のプライバシー保護を手厚くした改正個人情報保護法が施行された。海外では中国やインド、ベトナム、カナダ、米国など世界各国で個人データを扱う企業が順守すべき法規制強化が進んでいる。中でも18年5月に施行された欧州連合(EU)の一般データ保護規則(GDPR)は、適用範囲が広く、違反者には巨額の制裁金を科す法律となっており、特に留意すべきだ。
具体的に何をすればよいのか。GDPRを例に、法規制への対応策の一部を示す。
(1)取得する個人データの内容と流れを把握する=どのようなデータをどのシステムを通じて取得、保存しているのかを洗い出し、関係者間で共有できるよう図示する。関係者には業務委託先も含め、責任範囲を明文化する。
(2)個人データの取り扱いにおけるリスクを評価する=技術的な対策が十分かどうかや、個人の権利対応への適合性を評価し、改善策を立案する。
(3)事故対応の態勢を高度化する=サイバー事故の発生に備えた組織の組成、ルール化、72時間以内に監督当局へ通知するためのプロセスの整備などを行う。
こうした取り組みは全社的に進めることで効果を発揮する。つながる機器を活用したビジネスでは製造、流通、利用、運用の各場面でプライバシーを考慮した技術、法務の両軸での対策が不可欠だ。
図:GDPR対応、日本企業が注意すべき8つのポイント
※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。
※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。
※法人名、役職などは掲載当時のものです。
日経産業新聞 連載寄稿 セキュリティー新時代
- セキュリティー新時代(1)ネット接続1250億台のリスク
- セキュリティー新時代(2)制御システムをリスクから守る
- セキュリティー新時代(3)コネクテッドカーのサイバー耐性を強化
- セキュリティー新時代(4)攻撃者目線の評価が重要
- セキュリティー新時代(5)製品メーカーに求められるセキュリティ戦略
- セキュリティー新時代(7)人間の脆弱性もリスク
- セキュリティー新時代(8)CSIRTとPSIRTでサイバー事故に備える
- セキュリティー新時代(9)守る情報資産を棚卸し
- セキュリティー新時代(10)「分散台帳技術」は万能か
- セキュリティー新時代(11)日本の経営者、もっと前に
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
