コラム KCIセキュリティコラム第三回

知らなかったでは済まされない世界各国の個人情報保護。従業員情報も対象に！

世界各国で個人情報保護法が厳格化。
クラウドなどの情報取得ツールを利用の場合は注意。

世界各国で、個人情報の取り扱い規制が強化

近年、インターネットサービスにおいて、利用者の知らない所で個人情報を収集し、事業者がサービス拡大に利用するケースが増え、利用者個人の権利や利益を軽視する風潮が社会問題となっています。これを受けて、各国政府は個人情報保護法を厳格化する傾向があります。

2018年5月25日にEU連合（欧州経済領域）にて個人情報保護法を定めた GDPR (General Data Protection Regulation: 一般データ保護規則) が施行されました。GDPRでは、EU*1 域内の個人情報を取り扱う企業に対し、個人情報を保護する規制が定められたことから、企業に情報取り扱いにおけるルールや義務が課せられることとなりました。

また、EUだけでなく、米国、日本、シンガポール、香港、台湾、韓国、マレーシア、フィリピン、オーストラリアなどで、個人情報保護法の策定や大幅改定が進んでおり、今後も、世界各地で個人情報保護規制が厳格化されると考えられます。このようなことから、グローバル規模での個人情報取り扱いに十分に取り扱いが必要になってきます。

*1 :EU加盟国及び欧州経済領域（EEA）の一部であるアイスランド、ノルウェー、リヒテンシュタイン

従業員情報も対象に！社内でクラウドサービスを利用の場合は注意が必要

個人情報保護法のデータ取得同意に関する基本的な考え方

事業者による取得、利用、第三者への開示を拒否できる
事業者が保有するデータの事故への開示、訂正、削除等を求められる

個人情報保護法は左記の考え方に基づいて策定されており、事業主が従業員に対して情報を取得する時にも適用されます。

近年、世界各国で策定された多くの個人情報保護法では、SNSサービスやクラウドサービスなどで個人情報に紐づく情報を取得する際、事業者はその情報の取得・利用・第三者への開示についてユーザから同意を得るように規定されています。また、同意後にユーザがいつでも撤回できるようにする必要があります。

KDDI Cloud Inventoryではユーザに個人情報取得の同意を求める機能を搭載

KDDI Cloud Inventory のユーザ同意機能とは

ユーザの同意を得た場合のみ、個人情報を取得

こうした動きを受け、セキュリティ/インベントリ管理ツールであるKDDI Cloud Inventoryでは、従業員が利用している端末のインベントリ収集の際、ユーザ（従業員）の同意を得た場合のみ、個人情報を取得する機能を追加しました。さらに、ユーザが同意や拒否を取り消したい場合には、いつでも変更が可能です。

※本機能はGDPRおよびサイバーセキュリティ法に対する補完機能であり、各種法制度に対し完全に準拠するものではありません。
※本機能をご利用の場合は別途申請頂く必要があります。（機能提供は無償です）

端末のセキュリティ管理と資産管理と不正端末検知などができるSaaS型クラウドサービスのKDDI Cloud Inventoryの詳細はこちら

ユーザの同意を得た場合のみ、個人情報を取得

KDDI Cloud Inventoryが、各端末のインベントリ情報を取得する際に、端末使用者であるユーザに同意を求める文章を表示し、ユーザに同意・拒否の意思を確認します。同意した場合はすべての情報のインベントリ収集を行いますが、拒否した場合は個人情報を除いた情報のみを収集します。また、以下のユーザに同意を求める文章は各企業様で自由に変更可能です。（各国での言語で同意を求める事が推奨されており、KDDI Cloud Inventoryではサンプルで日本語、英語、中国語をご用意しています。）