Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。
欧州委員会は日本を十分性認定する手続きへ
2018年9月5日、欧州委員会(EC)は日本の「十分性認定」の採択手続きに入ったことを発表した。
十分性認定の採択に着手したことを発表した駐日欧州連合代表部のページ。
十分性認定(adequate level of protection)とは、個人データをEU加盟国から第三国に持ち出す場合、その移転先の国において、十分な個人データの保護措置が行われているかどうかを欧州委員会が審査し認定すること。認定されれば、EUと相手国のデータ保護が同等の水準にあると、相互に認めたことになる。
すでに十分性認定を取得した国には、スイス、カナダ、アルゼンチン、イスラエル、ウルグアイ、ニュージーランドなどがある。
欧州連合(EU)と日本政府の間で行われていた個人情報保護に関する協議が、2018年7月に終了したことを受け、欧州委員会は十分性認定の採択手続きに入った。日本側も、EUの個人情報保護の枠組みを承認するため、同様の手続きを進める。
発表によれば、これは、欧州個人情報保護評議会からの見解と、EU加盟各国で構成される委員会の了承を得ることを意味しており、この手続きが完了すれば、欧州委員会は日本に対する十分性認定を採択するという。
十分性認定を受けていない場合、EUから第三国へ個人データを移転するには、「多国製企業内におけるデータ流通を認める拘束的企業準則(BCR)を申請し、監督機関の許可を得る」、もしくは「標準契約条項(SCC)を締結する」ことが必要になる。
EUに居住する個人の情報を扱う日本企業にとって、日本が十分性認定されることは、上記の面からも負担の軽減につながるので朗報といえる。
ただし、十分性認定が行われたからといって、日本にGDPRが適用されなくなるわけではない。GDPRの「一部の規定について手続きが免除されるだけ」に過ぎないので注意が必要だ。誤解して、うっかり規定に違反してしまうと、最大で、その企業が全世界で得ている売上の4%以下、もしくは2千万ユーロ以下のいずれか高い方が制裁金として課されることになる。
GDPRに便乗したサイバー犯罪が横行
日本が十分性認定される見込みとなったことで、これまで個別対応の難しさからGDPRへの対応を躊躇ってきた日本企業も動き出すことが期待される。諸外国に比べてGDPR対応が遅れているだけに、もはや猶予期間はないのだ。
だが、対応を焦るあまり、GDPRに便乗したサイバー犯罪に引っかかってはいけない。
攻撃者はGDPRへの対応が必要な企業を選別し、ターゲットを絞り込む。彼らが狙うのは、企業が保有しているEU居住者の個人情報だ。フィッシングメールなどによって個人情報を盗み出し、その個人情報を公開されたくなければ身代金を払えと脅迫する。
EU居住者の個人情報保護を厳格に求めるGDPRでは、これに違反すると高額な制裁金を払わねばならない。盗まれたことを公表されては困るので、身代金の支払いに応じる企業も出てくるだろうと攻撃者は考えているのだ。
このほかにも、偽のGDPR診断サイトやGDPR準拠を騙った偽セキュリティソフト、GDPRに便乗したビジネスメール詐欺などの手口が予想される。
GDPRに便乗した攻撃の対象は企業だけではない。個人を狙ったサイバー犯罪も多数報告され、Avira社、REDSCAN社、Trendmicro社など複数のセキュリティ関連企業が警告を発している。
GDPRフィッシング詐欺を警告するREDSCAN社のページ。
その手口は、GDPR対応にともなう個人情報ポリシーの変更などの同意を求める通知を装ったメールを送りつけ、偽のウェブページに個人情報を入力させたり、マルウェアに感染させるなど巧妙だ。すでに、AppleやPayPal、 Airbnbといった有名企業を装ったフィッシングメールが発見・報告されている。
GDPR対応を進める企業は、ユーザーに対しても、GDPRに便乗して個人情報を盗むサイバー犯罪が横行していることを警告していくべきだろう。
次回の更新は9月19日です。