欧州連合(EU)居住者の個人情報を保護するための法律「GDPR」。実は、日本企業にも大きな影響を与える。GDPRとは何か、なぜ日本企業も影響を受けるのか、どのように対策すればよいのか。国内のIT担当者が知っておくべきGDPRの基礎知識をまとめた。
欧州議会などが欧州連合(EU)居住者の個人情報保護のために制定した規則「EU一般データ保護規則(GDPR)」が2018年5月25日に施行された。EU居住者の保護を目的とした法律なので、遠く離れた日本の国内組織には関係ないと考えがちだ。しかし、安易にそう考えるのは大きな間違いだ。日本の国内組織がいつトラブルに巻き込まれるかわからない。
国内ホテルが通知義務を負う
その一つが、顧客の情報漏洩に関するトラブルだ。自社の顧客にEU居住者が含まれる場合、日本の組織でもGDPRの適用対象になる。情報漏洩を速やかに届け出ないと巨額の制裁金を科されることになる。
実際、トラブルになりそうだったケースが発生している。ホテルの予約システムを運用する仏ファストブッキングからの情報漏洩である。ファストブッキングは2018年6月26日、サイバー攻撃によって同社のホテル予約システムから利用客の個人情報が漏洩したと発表した。この予約システムは、英語や中国語など日本語以外の言語に対応しており、外国人を対象としたホテル予約窓口として国内ホテルが利用していた。
漏洩データに含まれていた国内ホテルの利用客の個人情報は32万5717件。対象となった国内ホテルは401施設に上った。
GDPRでは、個人情報を主体的に取り扱っているサービス事業者は、情報漏洩の事実を把握してから72時間以内に監督機関への通知を義務付けている。
しかし一部の報道では、漏洩した国内ホテルでGDPR監督機関に通知したホテルは一部で、多くは通知しなかったと指摘した。
このケースは、委託先からの個人情報の漏洩だったが、GDPRではそうした場合でも委託元に通知義務が生じるとしている。通知しなかったり、通知が遅れたりすれば、GDPR違反として高額の制裁金を科される可能性がある。
