TwitterへのGDPR違反による制裁と個人情報保護の重要性

2020.12.17

 アスピレイションセキュリティチームです。

今回は企業活動における個人情報保護の重要性について、改めてお伝えさせていただきます。

アイルランドのデータ保護委員会（DPC）が現地時間12月15日、欧州連合（EU）の一般データ保護規則（GDPR）に違反したとしてTwitterに45万ユーロ（約5,700万円）の制裁金を科すと発表しました。

・Twitterに約5700万円の制裁金--アイルランド当局、EUのGDPR違反で

https://japan.cnet.com/article/35163896/

対象となった事案は、2018年12月にTwitterの一部ユーザーのツイートの非公開設定が誤って解除されてしまうシステム不具合が発生したこととなりますが、制裁の直接的な原因となったことは、同社が個人情報の漏えい事案を把握していたにも関わらずGDPRで定められている72時間以内の当局への報告義務を超過したこととされています。

世界でも最も厳しい個人情報保護基準の一つと言われているGDPRでは、このように情報の厳格な管理体制だけではなく、いざ漏えいが発生した際の迅速な報告体制も求められますが、今回の件はその義務について非常に厳しい判断が下された事例となります。GDPRでは違反が発生した際に対象企業の世界売上高の最大4％または2000万ユーロ（約25億円）という非常に高額な制裁金が科されることから、今後企業は益々個人情報の取扱いと運用体制において慎重な姿勢が求められることになります。

また日本においても2022年春より施行される個人情報保護法の改正により、不正アクセスによる個人情報漏洩の際には本人及び委員会への通知が義務付けられ、悪質とみられる違反の場合最大1億円の罰金が科されることが発表されており、今後この流れは世界中でスタンダードになっていくと推測されます。

このような事態を防ぐためには、まず外部からの不正なアクセスや内部及び関係会社から情報漏えいを防ぐための基本的なセキュリティシステムの導入、重要情報へのアクセスと保管の管理、従業員の意識付けとトレーニング、サプライチェーン管理などに加え、万が一漏えいが発生してしまった際の速やかな報告のためのルール整備、調査のためのログ管理など、様々な対策を講じておく必要があります。

多くの企業では暗黙のルールとして曖昧な体制の中で運用されていることが実状ですが、上記のTwitterの事例のように今後は厳格な個人情報管理の運用体制が益々求められ、さらに違反の際の制裁金は企業の活動に大きな損害を与えるため、今一度各種セキュリティ体制及び情報管理運用体制の見直しと厳格な整備を行うことが企業にとって必須となります。

そして全てのルール作りとシステムの見直しなどを社内だけで進めることは非常に大変な上、整備の漏れに気づきにくくなることもあることから、できれば外部の専門家によるアドバイスやコンサルティングを受けながら進めていくことをおすすめします。最も大切なことはまず自社の個人情報管理体制が、求められる基準に対しどれくらいのレベルであるのか正確に把握することですので、第三者による監査を受けられることが対策の第一歩として非常に有効です。

アスピレイションではグローバルでのサービス提供実績が豊富な専門チームと連携し、GDPRを含む個人情報管理体制に関する監査に加え、各種セキュリティシステムの導入アドバイスやペネトレーションテスト、社内ルール整備やトレーニングに関するアドバイスなど、適切な情報管理体制を構築するための支援サービスを提供しております。

無料でのご相談も承っておりますので、是非一度ご相談をいただけますと幸いです。

お問い合わせはこちらまで。