IT業界から見たGDPR(ホテル業界向け)

~最新情報~  更新日:2019年1月28日

【GAFA包囲網? -GDPR-】  

2019年1月21日にフランスのデータ保護当局がGoogleに対して、GDPR違反を理由に5000万ユーロ(約62億円)の制裁金の支払いを命じました。GDPR違反により米企業に制裁金が課された初めての事例です。日本でもGAFAを巡って、いろいろな動きがありますが、この事例はGAFA包囲網とは言い切れないようです。

なぜ、Googleに制裁金が課されたのか?

その理由は主に情報提供の方法とその同意の取得方法にあります。

まず、Googleは情報提供者(本人)への情報提供が不十分で透明性が低いと判断されました。Googleは個人受法を取得する際、利用目的や法的根拠等を十分に本人に明示する必要がありますが、その方法が5回前後のステップを踏む必要があり、適切でないと認定されました。

さらに、広告やマーケティング活動で個人情報を取得する際、標準が”合意”となっていることから、本人が主体となった明確な同意に基づいていないと判断されました。同意は個人情報の利用目的毎に取得しなければなりませんが、Googleは包括的に取得しているため、個人情報の取扱いが本人の明確な同意に基づいていないと判断されました。

は、いつもの話からちょっと寄り道。

 

※ 参考 infoseek NEWS 他

 

~過去の情報~

 【はじめに】 

 2018年5月 GDPR(General Data Protection Regulation)が施行されました。GDPRとはEEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的とする法律です。ここでいう個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル(入手・収集~保管~利用~提供~廃棄)に対する厳格なルールの適用を求めており、違反に対しては高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年11月初旬のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。GDPRでは個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。このGDPRは多くの産業、企業に影響があると考えていますが、特にホテルをはじめとする観光関連のビジネスを展開している企業は早期の対応が必要と考えています。当社は今までIT企業を中心に情報セキュリティへの取り組みを支援してきたので、そのノウハウを活かし、”情報セキュリティへの取り組み”という側面から順次、情報提供をしていきます。なお、情報提供は主にホテル業を想定し、当面、毎週月曜日に更新しますが、大きな動きがあればその都度更新します。

 

 【ホテル業界に激震??】 

 2018年6月フランスのホテル予約サイト”ファストブッキング”で不正アクセスにより、日本国内約400か所のホテルから32万5千件のクレジット情報を含む個人情報が流出するという事件が発生しました。被害にあったホテルは誰でも知っている有名ホテルが含まれていました。この事件がGDPR違反の疑いありとされています。実際、被害にあった某ホテルはGDPR違反を視野に入れ、調査・対応することを表明しています。 さて、一般的な認識では、違反はファストブッキング社であり、ホテルは被害者ではないかと思われます。被害にあったホテルも多くがそういう認識と言われています。 なぜ、ホテルによって対応が異なるのか? なぜ、調査を表明しているホテルはGDPR違反を視野に入れているのか?ここがGDPRのキモです。

 

【GDPRとは】 

 2018年5月に施行されたGDPRとは、EEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的としています。個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル全般(収集~保管~利用~提供~廃棄)に対する厳格なルールの適用、違反に対する高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年10月のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。

 

【事件のポイント】 

 ホテル側が情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ることはもちろん、予約サイト等の委託先、サプライヤー、調達先等に指示し、監督していたか。ホテル側は事件発覚から72時間以内に欧州の監督機関に通知したかが問われ、対応が適切でないと判断されると制裁金を科されます。 以前より、ファストブッキング社はホテル側にGDPRへの対応を求めていたそうですが、対応したのはごく一部。多くのホテルが「GDPRは適用外と考えている」というスタンスとのこと。 果たして、その認識は正しいのでしょうか?

 

【情報セキュリティに取り組むとは?】 

 前項で“情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ること、委託先、サプライヤー、調達先等に対する指示、監督”がポイントと書きましたが、一言でいえば”情報セキュリティに取り組んでいるか“が問われているといえます。一般的な認識として、”情報セキュリティに取り組む=リスク分析・評価・対応“と認識されているようですが、リスク対策は大きく2つのことを考えなくてはなりません。1つは、セキュリティを脅かす事象を発生させない”予防策“、もう1つは万が一、事件・事故が発生した場合を想定した”対応策“です。

 

【情報セキュリティとは?】 

 情報セキュリティは、“重要な資産を機密性、完全性、可用性をバランスよく保つこと”と定義されます。重要な資産とは情報(データ等)やそれを扱うためのインフラ、要員等あらゆる要素であり、例えば、個人情報、そのデータを扱う給与計算等のソフトウェア、そのデータやソフトウェアが保管されているサーバー等の記憶媒体、ネットワーク等の機器、それらのサービスを提供するサプライヤ、ソフトウェアや機器を扱う人等が代表的です。また、機密性とは情報を公開する範囲、完全性とはデータの正確性、可用性とは許可された人がその情報を使いたい時に使える状態にあることを意味します。例えば、それぞれを損ねた現象は“情報漏洩事故”“情報の改竄”“システム障害”等があります。

 

【情報セキュリティに取り組む ~方針管理~】  

情報セキュリティには、特定の担当者だけが取り組むのではなく、全社で取り組むことが重要です。全社で取り組む、その第一歩が方針管理となります。情報セキュリティに関する方針を経営陣(取締役、執行役員、幹部社員等)が協議、検討します。それを全ての社員、委託業者、取引先等の利害関係者に周知、または公表します。さらに方針の枠組みの中で目標を設定し、その目標を部門毎、階層毎で設定、最終的には個人の目標、役割等へ展開します。目標という以上、抽象的な表現はダメです。“いつまでに”“なにを”“どれだけ”達成するのか、可能であれば数値で設定するとよいでしょう。個人への展開も上司と本人の面接で本人の希望や意向、上司の期待等を共有し、両者合意の上で目標を設定してください。 例えば、弊社は“コンプライアンス基本方針”を設定しています。

 

【情報セキュリティに取り組む ~ヒトへの対策~】  

今までに起きた個人情報漏洩事件を思い出してください。最近でこそ、外部からの不正アクセスにいる漏洩が多くなりましたが、ほんの一昔前は情報漏洩といえば、”元社員””元派遣社員””元外注先社員”が犯人というのが定番?でした。在職中に受けた仕打ちに対する仕返し、いやがらせから始まって、数年前に金銭目的、つまり情報を抜き取って売ってしまうなんていう事件もありました。どんなに立派な仕組みやルールを作っても最終的にはヒト次第。

ところで、ヒトに関しては大きく2つにことを考えなければなりません。1つめは意図しないポカ、チョンボ、うっかりといったミス防止です。2つ目は悪意を持たれないための対策です。

いずれにも共通しているのは、やはりトレーニング。主にセキュリティに関する意識・認識を維持し、高めるもの。例えば、最近のセキュリティ事情、他社の事件・事故事例、ルール違反を犯した場合に想定される出来事等。そして、スキルアップ。個人情報等重要なデータや情報を取り扱う場合、手順やルールの周知、ソフトウェアや機器の使い方をきちんと身に付ける必要があります。そういえば、数年前、株の単価と発注数量を間違え、大きな損害を出した事例がありました。

問題は、”悪意を持たれないための対策”です。社員の言いなりになれというつもりは毛頭ありません。とはいえ、社員の働きやすさ、働き甲斐と言ったことを考えた施策は必要でしょう。幸い、働き方改革なるものがスタートしますので、何らかの施策を打つのに良い機会でしょう。

 

【情報セキュリティに取り組む ~オフィスに対する対策~】  

セキュリティ対策は、多重にすることが大切です。例えば、オフィスビルに入居している場合、共有部に警備システムが導入され、専有部に入るためには別の鍵やカードが必要であれば、これだけで二重となります。さらに、施錠可能な書庫にあるものはそのカギで三重となります。多重化、すなわち一重より二重、二重より三重、三重より四重...。多重化すればするほどアクセスするための壁は高くなり、セキュリティ対策はより強固なものとなります。一方、多重化すればするほどメンドーになります。カードや鍵はその分必要となるので...。この件に限らず、情報セキュリティ対策を強化すればするほど、利便性を損なう可能性が高くなります。情報セキュリティ対策は、強固さと利便性のバランスを考え、リスクに応じて実施することが重要です。

 

【情報セキュリティに取り組む ~オフィスに対する対策~】  

いまどき、オフィスに泥棒が入るなんて聞くことは少ないですが、多くの会社ではオフィスに重要な情報やデータを置いていたり、それらにアクセスする環境があります。例えば、サーバーの設置、パソコンの設置、鍵や入退で使用するカード、セキュリティ上の価値はともかく、現金、実印等。オフィスに対する対策はその第一歩です。また、カード紛失事故は未だ多くの会社で発生しています。鍵やカードはオフィスにアクセスするための最初のカベです。鍵やカードを渡したら、間違いなく保有しているか、失くしていないかを定期的にチェックすることを勧めます。なお、鍵やカードを全員に渡す必要がない場合、気を付けることは”必要な人にだけ渡す”です。万が一を考え、使うことはほとんどないにも関わらず、欲しがる人がいますが、渡してはいけません。必要がない人に渡さないのも重要なセキュリティ対策です。

 

【情報セキュリティに取り組む ~ITに対する対策~】  

ITの目覚ましい進展はいまさら説明の必要はないでしょう。そして、ITの進展に歩調を合わせるかの如く、情報セキュリティも同等以上のスピードで進展?してきました。なんせ、ほんの20年前にはセキュリティと言われて想像するのは”警備”でしたから。現在、情報セキュリティ上の最も大きいリスクはIT関連です。「情報セキュリティ対策で効果的な方法はありませんか?」と質問されることがあります。 

皆さんは、最大の情報セキュリティ対策は何だと思いますか? 

それはネットワークを使わないこと、そして重要な情報やデータを持たないことの2つです。そもそもパソコンを企業だけでなく、個人で使うことが一般化したのはせいぜい30年前。インターネットはその数年後。それより前は、”オンライン”といってもデータ送信がいいとこ。

さて、ITで考えなければならない対策は以下となります。

・ネットワークやサーバー等のインフラ関連

・クライアント機器(デスクトップやノートパソコン、携帯端末、iphone、スマホ等)

・利用しているソフトウェア

・利用する要員のスキル、認識

 

【ちょっと寄り道】  

今回は、いつもの話からちょっと寄り道。

最近、何かと話題になるGAFA。ご存知、Google、Apple、Facebook、Amazonといった巨大IT企業の頭文字です。この4社とまったく取引がない組織、企業、人はほぼいないといっても過言ではありません。例えば、私はiphoneを使っているし、Facebookを利用しています。さらにパソコンではGoogleマップ等を使っています。ソフトウェア開発案件でも”AWS(Amazon Web Service)上での設計、開発が増えています。また、ソフトウェア開発を行っている企業でもAWSやG siteを利用している事例が多々あります。さらにクラウドサービスでもAWSやGoogleを利用したものが多くあります。今や、GAFAのどれかひとつでも重大なインシデントが発生するとビジネスや生活に多大な影響を出るといわれています。世界にそれだけの影響がある一方、リスクや問題をはらんでいるという指摘もあります。そのあたりは「the four GAFA-四騎士が創り変えた世界」(スコット・キャロウェイ著)をご覧ください。さて、私たち利用者からみて、問題点はおおよそ以下の通りと思われます。

・契約内容が片務であり、契約や条件変更も一方的

・webで検索した際、その結果の表示順位が不透明

・知りたい内容に辿り着くのに手間がかかかる、わかりにくい

・利用断金が割高

・登録、提供した情報の管理、保護が不透明