「安いHDDで何でも保存」な時代は終わるEU「一般データ保護規則」（GDPR）に盛り込まれた“忘れられる権利”をどう守る？

EU一般データ保護規則（GDPR）の“忘れられる権利”は、コンプライアンスの重要な要素になりそうだ。企業はこの権利を尊重し、顧客から求められたら、証明可能な方法でデータを完全に削除する必要がある。

[Peter Loshin，TechTarget]

　欧州連合（EU）の新しい「一般データ保護規則」（General Data Protection Regulation、以下GDPR）の下で、世界中の企業は、個人データの機密性を確保するだけでなく、個人に関連する任意のデータを、依頼に応じて“忘れる”ことを義務付けられる。GDPRに規定された“忘れられる権利”は、この新規則を順守するための重要な要素になる見通しだ。

　GDPRは2018年5月25日に施行される。これに伴い、全てのEU所在者（EU市民だけではなく、全てのEU居住者）は企業に対し、自分の個人情報を企業データベースからタイムリーに削除することを要求でき、要求が拒否された場合は、その理由を知ることができる。

　オンプレミスストレージベンダーのNexsanで技術エンゲージメント担当副社長を務めるゲーリー・ワトソン氏は、忘れられる権利に関するGDPRのルールの順守について、詳しく解説した。

　「データを保持義務期間よりも長く保持すると、負債になってしまう。データは、義務付けられた期間だけ保持するようにし、それより1日でも長く保持してはならない。人々のデータを、持つ必要がある期間を超えて持ち続けると、通常、それは負債になる。理由はいくらでもある」とワトソン氏は語る。

併せて読みたいお薦め記事

「GDPR」とはそもそも何か

• 違反したら巨額の罰金、EUの「一般データ保護規則」（GDPR）とは
• EUの「一般データ保護規則」（GDPR）、施行日までに確認すべきポイントは
• 施行迫るGDPR　“72時間ルール”に企業が警戒すべき理由

GDPR準拠を発表した企業の例

• 「EU一般データ保護規則」（GDPR）、AWSが施行日までの準拠を約束
• EUの「一般データ保護規則」（GDPR）、Microsoftが対応支援に乗り出す
• EU「一般データ保護規則」（GDPR）対応、先手を打つ米国企業の思惑とは

　「例えば、侵害を受けた場合、データを危険にさらしたことに対する補償金を支払う人数が増えてしまう。アクティブ顧客が5万人、休眠顧客が10万人いたら、何か問題が起こった場合、15万人よりも5万人に補償する方がずっと簡単だ」（ワトソン氏）

　顧客データをオンデマンドで削除できることは、忘れられる権利に関するGDPRルールを守るための重要な要素だが、唯一の要素ではない。GDPRの主な目的は、個人を特定できる情報の機密性を確保することだ。その実現のためには、まず全ての準備を整える必要があると、ワトソン氏は説明する。

　「GDPRは企業に対し、システムが常に利用可能および回復可能で、高い可用性と完全性を提供できるようにすることを求めている。企業は、『機密性、完全性、可用性、高速リストアに関する最先端の取り組み』を行うことが期待されている。GDPRの一環として、こうした全てに目を配っていると見なされるわけだ。これは独立した要件ではない」とワトソン氏は語る。

　「プライバシーを保護することと、信頼性の高いシステム構築とは不可分だ。誰かにプライベートデータを求められたら、『申し訳ありません。システムが先週クラッシュし、データが失われました。おわび申し上げます』という回答では済まされない。彼らは企業に、データを忘れることを要求できるだけでなく、自分のデータを要求することもできるからだ。企業にとっては、要求されたときにデータを提供することが必須だ」（ワトソン氏）

CISOは何をすべきか

　EUが、忘れられる権利に関するGDPRルールをどの程度厳格に適用するかは不明だ。だが、罰金を避けるには、個人のデータを削除する場合、その人に関連するデータの全てのコピーを破棄する必要があると、ワトソン氏は語る。データはメインデータベースだけでなく、全てのバックアップからも一掃しなければならず、しかも完全に削除する必要があるという。「データを処分する際に確実に抹消するために、検討すべき技術ソリューションがある」（ワトソン氏）

　「CISO（最高情報セキュリティ責任者）は、個人を特定できる情報が社内のどこで保存、処理されているかを把握する必要がある。データが『Microsoft PowerPoint』や『Microsoft Word』などにコピーされる場合は、それを把握するとともに、削除すべきときが来たら、どうすればそうしたデータが見つかるかを知っていなければならない」とワトソン氏は説明する。

　「企業はこうしたデータの所在の把握および特定に腰を据えて取り組む必要がある。そして注意深く厳重にアーカイブを管理し、従業員が不適切なタイミングでバックアップコピーを処分しないよう対策を講じなければならない」（ワトソン氏）

　モバイルアプリケーションに関連するデータの扱いも一筋縄ではいかない。「モバイルワーカーが作成、使用するデータの管理は大きな問題だ。例えば、保険会社の損害査定人は、損傷した家屋や車の写真を撮るが、それは個人情報だ」とワトソン氏は指摘する。

　「彼らはスマートフォンで写真を撮ってノートPCに保存する。そのコピーが幾つ、どこにあるかは誰にも分からない。消費者から『私のファイルを削除してほしい』と言われたときに、そうしたデータをどうやって管理するか、また、そうしたデータに関して行った処理を、どうすれば証明できるかという問題がある」（ワトソン氏）

　ワトソン氏によると、忘れられる権利に関するGDPRルールの順守においては、自動化も重要な役割を果たしそうだ。「この取り組みの多くは自動化する必要がある。人々がばらばらな方法でデータを調べていては、適切に対応できないからだ。人手に頼らずに、データを自動的に管理するよう設計されたシステムを利用する必要がある。人的なチェックはプライバシーの問題にもつながる」（ワトソン氏）

　企業は、顧客からの「個人データを削除してほしい」というリクエストに加えて、「個人データを調べたい」というリクエストにも即座に対応できなければならないと、ワトソン氏は語る。「特定の人に関連する全データを迅速に調査し、特定した上で提供できなければならない。『私のファイルが欲しい』と言われた場合も、速やかにファイルを抽出し、提供できる必要がある。もちろん、誤ったファイルがたくさん混じっていたら、許されないだろう」（ワトソン氏）

バックアップやクラウドサービス利用の注意点