第35回「データ保護」は何を保護するのか？

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

個人の権利を守るGDPR

「データ保護」と「IT セキュリティー」を混同している人は多いかもしれない。その理由は「データ保護」という言葉が、コンピュータ上の「データ」を不正アクセスから「保護」するものであるかのような印象を与えてしまうせいだろう。しかし実際には、データ保護の「保護」の対象はデータではなく、人間だ。監視、差別、不正操作、なりすまし、詐欺やそのほかの犯罪から人々を守ることがデータ保護の基本理念なのである。

世界中で大量のデータが収集、処理、転送される今日において、高度な技術や巨大企業を前に個人の力はあまりに小さく思われる。そんな個人の権利を強化すべく導入されたのが、欧州連合（EU）における「EU一般データ保護規則（GDPR）」だ。

GDPRの画期的なところは、この規則のおかげで、誰もが企業や組織に個人データについて照会できるようになったことである。例えば、どのような個人データ（自分のデータ）が、何の目的で、いつまで保存されているのか、そのデータは転送されるのか、転送されるとすれば誰に渡されるのか……などの問い合わせをすることが可能だ。

ほかにも、GDPRの施行によって個人データの削除や修正の要求などもできるようになった。さらに、こうした問い合わせを受けた側は、4週間以内に対応しなければならない。もし対応が遅れた場合には、相談者は管轄のデータ保護監督機関に連絡することができ、監督機関は該当企業に制裁を科すことが可能となっている。

GDPRの施行で変わったこと

企業からすれば、記録義務や技術的・組織的措置の実施、IT セキュリティー、暗号化や安全なデータ消去プロセスの設定など、これまで以上の取り組みが求められるため、業務の増加を意味する。当初はGDPRに対して懐疑的な見方があったものの、今ではすっかり定着した。むしろGDPRの施行により多くの企業がIT セキュリティーを改善できたのみならず、内部プロセスの効率化にも成功していることが分かっている。さらに、不要となったデータを削除することで、保存容量の確保やコスト削減にも役立っているのだ。つまりGDPRは、企業とデータ主体（個人）双方にとってWin-Winの制度なのである。

日本でも、すでに個人情報保護法はGDPRと同等とみなされるよう調整されている。また、そのほかの多くの国でも、GDPRに倣って国民の保護を強化する動きが進行中だ。個人データの取扱いについて不安に思うことがあれば、遠慮なく責任機関（個人データを提供した相手）に問い合わせて、自分のデータが適切に処理されているか確認しよう。まさに、ドイツのことわざ「信頼は良し、検査はなお良し（Vertrauenist gut, Kontrolle ist besser.）」である。

GDPRは、企業とデータ主体（個人）双方にとってWin-Winの制度