金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。国境を跨いだ個人データの移転(越境移転)に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。
企業が直面するデータの越境移転規制への対応
近年、企業が海外向けに新たなサービスを展開するにあたり、海外に居住するユーザーや従業員の個人データを収集、管理する機会が増えています。企業は収集した個人情報をはじめとする各種データを分析することで、ターゲットとするユーザー層の特定や、アプローチ方法の検討に役立てています。今後も企業の海外展開が加速するにつれ、海外居住者から個人データを取得する機会も増え、企業が管理するデータの量や種類が継続的に増加していくことが予測されます。
このような傾向は国境を跨いだ個人データの移転(以下、越境移転)が発生する可能性の増加を意味します。越境移転は各国のデータ保護法令を中心に規制されており、本人同意の取得などの必要な措置を講じない限りは移転を原則禁止する法令も存在します。そのため、企業がデータの越境移転を行う際には、法令違反をはじめとする各種リスクに注意を払う必要があります。
本稿では企業による個人データの越境移転に伴うリスクについて、クラウドサービスの利用により越境移転が発生する事例を題材に紹介します。また、越境移転のクリアランス要件として注目されるAPEC CBPR認証(以下、CBPR認証)の概要についても解説します。
グローバルでの越境移転が発生する事例の紹介
【本事例における企業の目的】
クラウドサービスを活用することで全社の顧客データ、従業員データを一括管理しデータの統合、業務効率化、利活用促進を図りたい。
<越境移転の概要>
本事例では企業が世界各国で保有している各種データがクラウドサービスを通じて共有されます。各国からデータを参照できるようになるため、移転元となる国から移転先となる国への越境移転が発生することになります。これまでの企業活動を通じて取得したデータを全社で共有し、新たなサービスの創出やデータ利活用の推進を図る企業が増えており、グローバルでの越境移転規制への対応を要請されるケースが多く確認されています。
<越境移転に伴うリスク>
移転元および移転先(データの参照先を含む)が複数国にわたる場合には、遵守すべきデータ保護法令が増え、それに伴って法令違反のリスクも高くなります。また、万が一データの侵害や漏えいなどが発生した場合には、企業のレピュテーションに対する影響も甚大になることが予想されます。企業には、個人データの移転元と移転先の洗い出しなど必要な対策を講じることに加え、グローバルでデータを共有するにあたってのリスクをどのように低減させるか検討することが求められます。
越境移転規制をクリアする手段としてのCBPR認証
前述の事例においては、移転元国のデータ保護法令で課せられる越境移転規制への対応が求められ、データ主体への必要事項の通知、本人同意の取得、越境移転契約の締結などの措置が必要になります。どのような措置を講じる必要があるかは各国の法令要件に準じる必要がありますが、国際認証の取得により越境移転規制をクリアする方法もあります。本稿では、その一例としてCBPR認証を紹介します。CBPRは2011年に合意された、APEC域内での越境プライバシールールです。2023年5月末時点では日本、米国を含む9カ国・地域※がCBPRに参加しており、個人データの越境移転についてAPECプライバシー原則に適合しているかを認証する仕組みとしてCBPR認証が存在します。
※:2023年5月末時点で日本、米国、メキシコ、カナダ、シンガポール、韓国、オーストラリア、台湾、フィリピンが参加。
CBPR認証を取得した企業は、CBPR参加国間であれば個人データの越境移転が認められます。CBPR参加国間において前章のような個人データの越境移転が発生し、同意取得やデータ主体への情報提供等の措置が必要となる場合には、代替手段として認証取得による越境移転規制への対応も可能です。その他、企業にとっての取得メリットとしては、自社の企業運営においてCBPRの仕組みに適合した個人データを取り扱っていることを対外的にアピールできること、APEC域内からの苦情・相談について、CBPRの認証機関(アカウンタビリティエージェント:AA)より対応・調整の支援が受けられることなどが挙げられます。
認証の取得に向けては、企業はAAによる審査を受ける必要があり、日本であれば一般社団法人日本情報経済社会推進協会(JIPDEC)が2023年5月末時点では唯一のAAとなっています。審査項目は通知、個人情報の取得、セキュリティ対策等の項目が設定されており、企業における対応状況を質問票に対し回答する必要があります。
CBPR運営組織(CBPRフォーラム)としては新たな参加国を歓迎する姿勢を示しており、2023年4月には新たに英国が参加意向を表明しました。また、CBPRの枠組みをよりグローバルに拡大していくため、グローバルCBPRフォーラムの設立も同月に発表されています。CBPRの枠組みに参加する国が増えることにより、認証取得によって越境移転が可能となる対象国が増えること、他国企業においては認証の取得を調達要件に組み込むケースが増えてくることなどが予測され、企業にとっての認証取得メリットも大きくなると考えられます。
越境移転および認証取得にあたり企業に求められる対応
前述の事例への対応や、CBPR認証の取得にあたっては、どのような越境移転が発生し得るか、越境移転に対し自社としてどのような対策を取っているかについて確認する必要があります。大規模な個人データを複数国間に跨って移転、統合、共有することを検討している場合には、越境移転の範囲も広くなり、対応に必要な各種リソースも大きくなりやすいです。企業には、まず移転対象のデータを特定し、どの国からどの国への移転が発生するか、移転元国ではどのような越境移転規制が課せられているかを洗い出すことが求められます。洗い出しにはデータマッピングやリスクアセスメントの実行が有効であり、その結果を踏まえて対策を検討することが可能になります。
また、GDPR(欧州一般データ保護規則)や中国データ三法のように、違反時に多額の罰金や制裁を課す法令も存在します。法規制対応を考慮せずに越境移転を伴うデータの連携や集約計画を進めることは、企業にとって大きなリスクとなります。このような計画を検討中、あるいは遂行中の企業は、越境移転対応を中心に、法規制対応が考慮されているかを確認することが推奨されます。
プライバシー法規制のトレンドと企業に求められる対応
43 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(1)中国・台湾
各国サイバーセキュリティ法令・政策動向シリーズの第1回目として、中国(大陸)および台湾のデジタル政府化の取り組みやセキュリティ法規制について、最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
