サイバー攻撃に対してデータ保護法がどのように影響するのか
※このインタビューは2024年8月5日に収録されました
各国でプライバシー法の見直しが広がりつつある中で、サイバー空間での争いとデータ保護も重要なテーマになってきています。
今回はイスラエルの弁護士事務所Erdinast, Ben Nathan, Toledano & Coでデータ保護に取り組むリオアさんに、これからのデータ保護制度のあり方と対策についてお伺いしました。
前回の記事より
改正の中で重要なポイントとして、政府機関がより強い権限を持ち執行にあたることができるよう明記されています。特に金融関連の制裁については、これまでに明記されていなかった点も今回は加わりました。
プライバシー法改正によってイスラエルではどのようなことが起きるのか
Lior: これはプライバシーデータ保護監督局がより強力な決定権を持つようになったことを意味し、企業や個人に対しても金融制裁を課すことができるようになるということです。まずは、公共空間でのプライバシー保護についての動きがあり、その後は個人データの処理まで範囲を広げていくことになるかと思います。
また、政府機関は法や規制の下で求められることに立ち返る意味でも非常に重要な時代を生きていると思います。
今日にでも法律が可決し、最後に重要事項を読み上げることになるかと思います。その後は、施行まで一年の準備期間が設けられることになります。大手企業や公共機関はこの準備期間で法で求められる内容へ対応を進め、今後は法の施行に伴って市場環境も変わっていくことになると思います。
ここまでが、法律の変化によって起こりうる動きを整理した内容です。ここからは、法の執行や制裁についていくつか整理していきたいと思います。まず、特定の組織内ではデータ保護責任者の設置が義務となります。
これまではデータ保護責任者を設置するか否かは、各組織の自発性に委ねられていましたが今回の改正で義務になりました。少なからず、データブローカーや公共機関、個人データを広く取り扱うような組織に対してはGDPRで求められるような対応が必要になります。
その他には、大量のセンシティブ情報(特別な分類データ)を扱う場合にはより強固な対策が必要になります。ただ、これはメインの内容ではありません。
例えば、病院経営を事業として展開している場合には患者の診断等で広く情報を取り扱うケースが考えられます。こういった医療データを処理する組織の場合には、データ保護責任者を任命して設置することが求められます。
現在英国で採用されている制度に類似したもので、イスラエル国内でも問題となっているのが、データベース所有者を登録する必要があるということです。もしデータ管理者が登録制になった場合には、データ処理を実施する際に通知を行うことが求められるようになります。
この場合には、登録要件について検討することが必要です。登録制となると95%の組織が、必要対象範囲になると考えられます。それ以外に、プライバシーポリシー等の規約変更が求められ得ることになり、個人データの範囲や処理内容、個人識別範囲についても変更が求められるようになります。
この辺りは全て法律に組み込まれることになりました。勿論、特別な分類データについては異なるものも含まれています。センシティブ情報については、GDPRと同様の分類が適用されることになります。
データ保護制度におけるイスラエルと他国の違い
ここまで話をしてきて、イスラエル国内での地域性を反映した部分も紹介したいと思います。例えば、給与情報や候補者、従業員の評価については米国や欧州ではセンシティブ情報の定義に当たりませんが、イスラエルでは専門家の評価についてはセンシティブ情報に含まれることになります。これは非常に興味深い点で、イスラエルの制度特有の定義になります。
また、犯罪に対する情報の扱いも変わることになります。犯罪に含まれるケースについては、対象者が意図的に違法な詐欺行為を働いた場合や、騙すつもりで個人情報を取得する場合も対象となるように変わります。
勿論、政府の執行機関が規制するために力を持つようになるのですが、それ以外にも二つほど気になる点があります。一つが、今回の改正で既存の法律と対になる目的制限の原則についてです。
目的制限の原則は解釈範囲が広いのですが、今回の原則では法でより広い対象まで含めることになっています。これは、情報開示の要求も含まれ、個人情報を取得したデータ管理者や処理者は開示要求を広く求められることになります。これは事業者にとっては悩みの種となり、大きな変更点の一つです。
今回の論点は非常に興味深く、市場環境を大きく変えていくことになりそうです。既に多くのイスラエル企業はデータ保護の原則に則り対応を行っています。対象としては、欧州のGDPRや米国カリフォルニアのプライバシー法に準拠しています。
おそらく、欧州のデータ保護法に準拠することで、イスラエルでも十分なデータ保護対応を実施することになると思います。ただ、今回の改正によって特定の箇所についての変更があったことは、新たに影響してくると思います。
具体的な対策についても話をすると、事業者は現時点でできていないことを整理するためのギャップ分析を行うだけでなく、本格的にコンプライアンスプログラムを導入する必要が出てくるでしょう。
現在は大手企業や公共機関を中心としてコンプライアンスプログラムを導入し、リスク管理を未然に行っています。ただ、現在自発的に取り組んでいることが、そうではなくなっていくと思います。
特定の組織だけでなく、対象となる全ての事業者が取り組む必要があるのです。勿論、既にコンプライアンスプログラムの内容を熟知していて、何をすべきかわかっている人たちも数多く存在するとは思います。
ただ、これからやるべきことは新しく求められる条件への対応を求められるようになるのです。ここまでお話ししてきたケースから紹介すると、数年前に求められたセキュリティ関連対策は今ではデフォルトになっています。セキュリティ対策については、既に多くの条件に対応する必要があるのです。
これまでの対応条件は文書レベルである程度対策はできていました。ただ、現在はコンプライアンス条件に満たなければ、管理者が制裁を受けることになり、文書レベルの対策にも通用しないことになります。
まずはコンプライアンスの基礎を学ぶことから始めていくことが大切です。対象によって標準内容は異なります。
政府の執行機関も、いきなり対象の事業者に対して制裁することは少なく、事前に通知を行うケースが多々あるので、まずは政府機関とのやり取りを始めていくことが必要になると思います。ただ、政府の意見に頼るだけでなく、政策の動きと合わせて検討を進めていくことが必要です。
必要な条件については対応していくことが必要ですが、状況によって事態は異なるものになるでしょう。今は市場にとって良い流れがきていると思います。我々の社会全体が成長することによって、データ提供者の権利が保護されることになります。
データに関するテーマについては、社会全体の成長こそが必要な要素だと考えています。GDPRはデータ保護を厳しくする一つの大きな動きであり、カリフォルニア州でも同様の動きが出てきていることが大きな証拠です。
最終的には、各国で同様の議論が広がっていくことになると思います。これは好ましいことです。イスラエルでもプライバシーについて考えることが必要になり、それはマーケットにとって必然なことだと思います。
経済や技術発展の観点から考えても、重要なテーマです。今後どういった動きが広がっていくのかは注目していきたいと思います。実質的な条項や項目に明記されていくと思います。この動きを良い社会の流れに繋げていけると良いですね。
Kohei: 貴重なお話をありがとうございます。今後の予測については、非常に関心があるテーマです。リオアさんのお話から、プライバシー法の改正前と後で、大きく景色が変わっていくことがわかりました。この動きはプライバシー保護に取り組む人たちやイスラエル企業と連携したり、協業する際にも理解するべき内容だと思います。
次に重要なテーマについてお伺いしていきたいと思います。現在中東では戦争を始めとした、大きな変化が起きていると思います。戦時中のサイバー攻撃や偽情報、誤情報の問題がよく取り上げられていると思います。
特にプラットフォーム企業に対しては、欧州のデジタルサービス法やデジタル市場法といった新しいデジタル規制により、求められることが増えてきていると理解しています。
次の質問でお伺いしたいのは、戦時中のサイバー攻撃等を見据えた上で、データ保護にどのように取り組めば良いのかということです。また、戦争が始まってからイスラエル国内ではデジタル関連の法制度で新たな動きは起きているのでしょうか?
サイバー攻撃に対してデータ保護法がどのように影響するのか
Lior: ご質問ありがとうございます。サイバーセキュリティはとても重要な要素の一つで、イスラエルはこれまでに数多くの攻撃を敵国から受けてきました。敵国はイスラエル企業やイスラエル政府をターゲットに攻撃を仕掛けてきます。
ソーシャルメディアについても、サイバー攻撃の焦点となっています。イスラエル企業の多くはサイバー攻撃の問題を理解するとともに、世界中でトップクラスのサイバーセキュリティ企業が集積している場所でもあります。
イスラエルはサイバーセキュリティ企業のハブとしても機能しています。皆さんもご存知のサイバーソリューションを提供する企業がイスラエル発というケースもよくありますね。
イスラエルで事業を展開する企業は少なからずサイバーセキュリティへの意識を高く持っています。他国と比較してもセキュリティに対する意識は高く、スタートアップ企業であったとしても創設者のセキュリティリスクに対する知見を持っています。また、実行すべきではないことも理解していますね。
プライバシー保護法の観点から考えると、プライバシー法制を整えていくことでより効果的なサイバーセキュリティの標準化を進めていくことができると考えています。
一度情報セキュリティ規制が成立すると、データを十分に保護する環境を整備できていない場合には告訴される可能性もあるので、規制動向に注目する必要があります。
最終的には標準的な基準を準備しておくことが効果的な場合が多いですが、標準については良い標準と高い基準が求められることがあります。イスラエルでセキュリティインシデントが発生した場合には、報告義務が課されることになり、厳しいセキュリティインシデントの場合には基準に沿った対応が必要になります。
一定の基準を持って規制に合わせて対応することが必要になりますが、より被害が甚大になるケースについては一般的にイスラエルのデータ保護監督局に報告が必要になります。
政府の中には、イスラエルのサイバー部門があり、攻撃を受けた場合や、攻撃に関する兆候が見つかった場合には必要な情報提供が求められます。全てのケースが該当するわけではないですが、市場に対する影響を考慮すると政府機関のような番人が必要になるのです。
この報告義務の中で二つ事業者には求められる課題があります。一つが、ボードメンバーから個人的な責任範囲でのディレクションが必要になるということです。これは、個人に関連したデータや資産の保護を組織で利用する場合に、保護責任が伴うものです。
こういった報告を実施する際には、十分な準備を行う必要があります。そういった意味でリスク評価が重要になってきます。まずはリスク評価を行い、サイバーセキュリティにおける手順を整理することから始めてみることが良いと思います。
そして、プライバシー保護に関連してプライバシーポリシーや、プライバシーに関する手続きの整理を行います。勿論、信頼できる事業者として活動するためには、評価の時に限らず常にプライバシーについての周知を実施することが肝心です。
また、CISOのようなアドバイザーを設置し、DPOのようなプライバシー専門家とも協力しながら進めていくことが重要です。
(動画:Privacy 101: Data Protection Officer)
私たちのような法律の専門家がDPOサービスや、DPOに関連したアドバイスを実施したり、サイバーセキュリティの専門家からのアドバイスを受けたりしつつ、協力して体制づくりを進めていくことも重要になります。
Kohei: ありがとうございます。ここまでデータ保護の観点から色々と教えていただきましたが、リオアさんが昨年公表されたレポートから追加で偽情報や誤情報についてのお話もお伺いできればと思います。イスラエルではプラットフォーム上での情報操作に関して、何か新しい動きは起きているのでしょうか?
法的な対策に限らず、新しい動きがあればお伺いできると幸いです。
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫