- 山本 雅暁
- グローバルビジネスマッチングアドバイザー GBM&A 代表
- 神奈川県
- 経営コンサルタント
対象:経営コンサルティング
- 戸村 智憲
- (経営コンサルタント ジャーナリスト 講師)
日経記事;『欧州データ規制、情報漏洩に補償 損保、対応保険を投入』に関する考察
-
こんにちは。
グローバルビジネスマッチングアドバイザー 山本 雅暁です。
8月12日付の日経新聞に、『欧州データ規制、情報漏洩に補償 損保、対応保険を投入』のタイトルで記事が掲載されました。
本日は、この記事に関して考えを述べます。
記事の抜粋内容は、以下の通りです。
『欧州連合(EU)が5月に個人情報保護の新ルールを施行したことを受け、損害保険大手各社は情報漏洩事故などに幅広く対応する保険を投入する。新ルールは個人情報の欧州域外への移転などをめぐり厳しい規制を課しているが日本企業の対応は遅れている。損保各社はサイバー攻撃による被害を含めた一体的な補償を用意し、企業の対策強化を促す。。。』
この記事のポイントは、欧州(EU)が適用開始したGDPR(General Data Protection Regulation:一般データ保護規則)に関して、東京海上日動火災保険などの保険会社が、GDPR関連で行う必要のある行為に対する保険、一般的には、「サイバーリスク保険」のように、サイバー。。。の名前の保険を商品化したことです。
記事によると、「保険料は企業規模などによって異なるが、補償額が10億円のケースで年100万円程度からが目安となりそうだ。」とのことです。
私は、自分の支援策企業(中小企業)の多くがEUを対象とするビジネスを行っていますので、中小企業としてできる範囲(ベストエフォート)で対応を行ってもらいます。
GDPRについては、多くの情報が開示されています。私は、下記JETROのWebサイトに掲載されています各種情報を参考にすることを勧めています。
●「EU 一般データ保護規則(GDPR)について」
https://www.jetro.go.jp/world/europe/eu/gdpr/
GDPRへの対応に関して、上記のような保険に加入すれば、多少の気休めにはなりますが、基本的には、中小企業といえども、GDPRの規制内容を理解して対応することが基本です。
上記JETROのWebサイトに掲載されています実務ハンドブックが、有効です。
GDPRは、EU内のすべての個人データの処理と移転に関する規則です。個人データとは、JETROのWebサイトには「識別された、または識別され得る自然人(「デー
タ主体」)に関するすべての情報」として定義されています。例としては、以下のものになります。
・自然人の氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子(IP アドレス、クッキー識別子)
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因など
要は、GDPRの規制対象は、個人データのすべてです。規制される企業は、大手だけでなく、ベンチャーや中小企業すべてが含まれます。
GDPRに違反した企業には、最大でその企業の全世界での年間売上高の4%または2000万ユーロ(1ユーロ130円換算で約26億円)のうち、いずれか高いほうを制裁金として払う必要があります。
個人データの処理に関しては、以下のように定義されています。
「自動的な手段であるか否かに関わらず、個人データ、または個人データの集合に対して行われる、あらゆる単一の作業、または一連の作業」
例としては、以下のようになります。
・クレジットカード情報の保存
・メールアドレスの収集
・顧客の連絡先詳細の変更
・顧客の氏名の開示
・上司の従業員業務評価の閲覧
・データ主体のオンライン識別子の削除
・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成
EEA【European Economic Area;欧州経済領域、欧州経済地域。EU(欧州連合)にEFTA(エフタ)(欧州自由貿易連合)のノルウェー、アイスランド、リヒテンシュタインを含めた共同市場】域外への個人データの移転は、原則として違法となります。
移転先の国・地域に「十分性」(法整備などに基づき、十分に個人データ保護を講じていること)が認められた場合、または適切な保護措置を取った場合などには、例外的に適法となります。
EUと日本は、「十分性認定」について交渉した結果、7月に日欧間で個人情報を相互に移転する枠組みを作ることで最終合意しました。今年の秋頃には、両政府が署名すれば、日本はEUと同じ扱いとなり、上記移転に関する違法性はなくなります。
多くの国内企業は、拠点をEUに置かなくても、日本からインターネットを使ってWebサイトを通じて、ビジネスを行っています。
当然のごとく、これらの企業は、GDPRの規制対象になりますので、中小企業といえども厳格に遵守する必要があります。
私の支援先企業には、各企業の状況に応じてできることを一歩一歩行ってもらっています。
一つの例として、自社のWebサイトのセキュリティ能力向上のために、SSL(Secure Socket Layer)を採用してもらっています。
SSLの定義や内容は、SSLとは?の下記Webサイトをご覧ください。
https://cspssl.jp/guide/ssl.php
よろしくお願いいたします。
グローバルビジネスマッチングアドバイザー GBM&A 山本 雅暁
このコラムの執筆専門家
- 山本 雅暁
- (神奈川県 / 経営コンサルタント)
- グローバルビジネスマッチングアドバイザー GBM&A 代表
起業・企業存続の為の経営戦略立案・実行と、ビジネススキル向上
起業及び、事業拡大や経営合理化を目指す企業に対して経営コンサルを行います。大手メーカーで得た経験を活かし、補助金活用、アライアンスやM&A、市場分析に基づいた事業戦略策定・実行や事業再生を支援します。OJT研修でのビジネススキル向上を支援します。
「経営コンサルタントの活動」のコラム
『セミナー「はじめての海外事業 成功のポイント」の終了について』(2023/10/25 12:10)
『セミナー「はじめての海外事業 成功のポイント」のご案内と私の支援内容について』(2023/07/14 13:07)
神戸医療産業都市推進機構の『海外支援事業』のご案内と私の支援内容について(2023/04/14 11:04)
『ジェトロ 2022年度 日本企業の海外事業展開に関するアンケート調査』に関する考察(2023/02/06 14:02)
『「信頼できる情報を集めて活かすマーケティングリサーチ」』セミナーについて(2022/09/14 15:09)
このコラムに類似したコラム
ITコストはますます下がる 長谷川 進 - 経営コンサルタント(2014/05/09 10:42)
介護の記録や帳票のデータ保存可能に 寺崎 芳紀 - 経営コンサルタント(2021/01/22 08:00)
改革を進めるタイミング 長谷川 進 - 経営コンサルタント(2020/11/06 10:38)
日本企業が情報漏洩した際に被る損失額 長谷川 進 - 経営コンサルタント(2020/09/07 10:31)
新型コロナウイルス禍でのコミュニケーション・仕事のやり方について 山本 雅暁 - 経営コンサルタント(2020/07/23 17:48)