GDPR についてのシスコの考え方

シスコは個人データの取得先や扱い方にかかわらず、個人データを尊重し保護することによりお客様やパートナーの支援に努めています。また、義務付けられたプライバシーに関する法律を世界中で遵守しています。  

シスコは、セキュリティ、データ保護、プライバシーに関するプログラムを長期にわたり確立しており、既存のプログラムには GDPR の要件も含まれています。こうしたプログラムは、数々の規制、お客様のニーズ、シスコの社内行動規範に従うことへのコミットメントなど、GDPR と重なる要件をすでに多く備えています

シスコのデータ保護プログラム
シスコのデータ保護プログラムは、データのライフサイクル全体を対象にしています。まず、設計によるセキュリティとプライバシー、収集の管理、使用、処理、保管などに取り組み、レポートと監視や、サイクルの終わりに行う安全な廃棄または破壊といった運用上のニーズに対応します。 

GDPR に備える
シスコのデータ保護プログラムでは、GDPR に備え、個人データの取り扱いに関して各国の法規制に対応できるよう取り組んできました。それと同時に、業界のベスト プラクティス、お客様のニーズや規制要件との整合性も確保されるよう努めています。

早期の採用
各国の法規制を遵守しつつ個人データを安全に転送するため、シスコは早期に対応を進め、いち早くアジア太平洋経済協力（APEC）のクロスボーダー プライバシー ルール システムの認定を受けました。  

EU から世界中の国々への転送
シスコは、EU-米国間およびスイス-米国間のプライバシー シールドに基づく承認を得ています。また、GDPR を満たすポリシーにより EU の拘束的企業準則の認定を取得しました。

プライバシー エンジニアリング
シスコはプライバシー保護の一環として、シスコが提供するライフサイクル開発に、設計と既定によるプライバシーの原則を発案段階から取り入れることで、セキュリティ制御の強化を含めたプライバシー エンジニアリングに一層注力しています。

基本概念

個人データ
識別された、または識別され得る自然人（つまり、データの主体）に関連するすべての情報を意味します。

処理
自動的な方法であるか否かを問わず、収集、記録、構造化、保管、適合または変更、検索、参照、使用、送信による開示、流布またはその他の方法による提供、配置または組み合わせ、制限、消去、破棄などの、個人データに対して実行される業務または一連の業務を意味します。

データ コントローラ
個人データの取り扱いに関する意思決定の責任を負い、個々のデータの主体と直接関係するエンティティを意味します（たとえば、従業員のデータを処理する場合、シスコはデータ コントローラの役割を果たします）。

データ プロセッサ
データ コントローラに代わって個人データを取り扱う自然人または法人を意味します。GDPR では、データ プロセッサの責務と説明責任のレベルが大幅に変更されました。 GDPR の下では、データ プロセッサは、規制の執行および民事訴訟に直接責任を負い、また直接それらに従います。 また、データの取り扱いの文書化、データ コントローラへのデータ侵害の報告、個人データの削除などについて法的義務が課されます。特に、製品やサービスをお客様に提供する場合、シスコはお客様のコンテンツに関して主にデータ プロセッサの役割を果たします。

GDPR の要点

適用範囲の拡大と実質的な罰金の増額

適用対象地域の拡大
GDPR は、EU におけるデータの主体に関する商品/サービスの提供、またはそのようなデータの監視に関連して個人データを取り扱う場合、（A）EU に事業所を置く、または（B）世界のどの地域に事業所を置いてもデータ コントローラとデータ プロセッサに適用されます。データが EU 内に存在することが要件であり、データの主体の市民権および居住は関係ありません。

罰金
個人データの甚だしく不当な取り扱いに対しては、全世界の年間収益に対して最大 2 ～ 4 %の罰金が科されます。

ワンストップ ショップ
企業は、その主要な事業所となっている EU の国におけるデータ保護機関（DPA）（その他の関連する DPA とも連携）の下で説明責任を負います。シスコの場合、EU の本社はアムステルダムにあるため、「主要な事業所」はオランダになり、 オランダの DPA がシスコの主要な DPA になります。
 

個人の権利を確保

データ ポータビリティ
製品またはサービス、および関連するデータに応じて、データの主体は、データ コントローラに提供したデータを一般に使用される電子形式で取得できるように要求する権利があります。これにより、データの主体はサービス プロバイダーを簡単に変更できます。

同意
個人データの合法的な取り扱いを特に可能にする手段として、情報を与えた上で同意を得る有効なモデルの採用が規定されています。同意は、十分な情報と自由な意思に基づくもので、いつでも取り消せる必要があり、物品やサービスの提供に左右されてはなりません。そのため、真の同意を得ることが難しくなるにつれて、企業は正当な利益など他の法的根拠に依存するようになっています。

削除する権利
個人は、自身のデータを保持される正当な理由がない場合、データの削除を要求できる権利を有します。
 

企業の義務と説明責任の増大

データ保護影響評価
リスクの高いデータ セットを取り扱う場合、企業はデータ保護影響評価（DPIA）の実施（およびその文書化）を求められることになりました。 DPIAでは、データの取り扱いによってデータの主体の基本的権利と自由にどのようなリスクと影響が生じる可能性があるか、またそうしたリスクを適切に管理できるかどうかが評価されます。 関連する DPA との協議が推奨されたり、要求されたりする場合もあります。

設計と既定によるプライバシー
プライバシーの問題の検討とそれへの対処は、製品やシステムの（リリース後ではなく）開発時に、設計の段階で行う必要があります。データの収集、処理、保存、およびデータへのアクセスを適切に制限するプライバシー保護機能を取り入れた、データ主導型のシステムを設計しなければなりません。さらに、可能な範囲で、既定の設定としてプライバシー保護のオプションを増やす必要があります。

侵害の通知
GDPR では、リスク ベースで侵害を通知する要件について概略が述べられています。データ コントローラは、（a）侵害によって自然人の権利と自由にリスクが生じない場合を除き、72 時間以内に関連のデータ保護機関（DPA）に通知し、（b）権利と自由に高いリスクが生じる可能性がある場合、不当な遅延なしに、影響を受けるデータの主体に通知する必要があります。

データ プロセッサが関与し侵害を発見した場合、同当事者は、過度に遅延することなく、影響を受けるデータ コントローラに通知しなければなりません。

データ プロセッサの責任
プロセッサにはデータ保護法の遵守について直接の説明責任があります。また、データ コントローラは、どのような過失もないことを証明できる場合を除き、自身で選択したデータ プロセッサのすべての不正な行為について責任を負います。

データ保護責任者（DPO）
企業は、データ保護を担当しその説明責任を負うデータ保護責任者とチームを任命する必要があります。取り扱う個人データの機密性と規模によっては、DPO の任命が義務付けられる場合もあります。

ポリシーおよび標準

どのような場合にもまず着手することは、個人データの取り扱い方法について明確な戦略とルールを設定することです。シスコは、特に、個人データのライフサイクル、個人の権利、データ侵害、データ アクセス、セキュリティに関して、既存のプライバシーとデータ保護ポリシー、および社内の標準とガバナンスを更新しました。これにより、データの透明性、精度、アクセシビリティ、完全性、セキュリティ、一貫性を確保できます。そうしたポリシーの主要な原則がシスコのプライバシー ポリシーに反映されています。

特定、分類、およびマッピング
どのようなデータを保持しているかを知ることが、適切かつ一貫したデータ管理のカギとなります。シスコでは、部門を越えた全社的な取り組みをもとに、シスコの各部門が処理するデータのインベントリとマッピングを行っています。また、クラウドベースの製品とサービスについてもインベントリを実施します。これにより、保有しているデータ、保護対策、使用方法、保存場所、転送先、アクセス権の保有者、目的といったデータに関する状況を特定し、把握できるほか、リスクと機密性に基づき、状況に応じてデータを分類することもできます。シスコは、データを取り扱う結果と目的を重視することでリスク全体を効果的に概観できると考えています。

このプロセスを明確で一貫したものにするために、シスコはデータの特定と分類に使用するスタイル ガイドを維持しています。継続的かつ反復的なプロセスである特定、分類、マッピングは、シスコ全体で取り組むサイバーセキュリティとプライバシーの基礎となっています。

データのリスクと組織の成熟度
データのリスク管理では、特定のタイプにおけるデータの取り扱い（収集、交換、保管、削除など）に関連する、脅威、攻撃者、脆弱性、リスクを理解する必要があります。シスコは、情報保護のために実施するポリシー、プロセス、制御の効果を測定します。

シスコのリスク管理の成熟度によって、企業として、また個々の営業部門としてシスコが実践するデータ保護の強みと機会が評価されます。シスコは、許容できるレベルまでリスクを特定し管理します。

シスコでは、データが存在する場所、データの使用者、データを取り扱う場所や方法を判断する方法として、データ マッピングを採用しています。こうしたデータの状況を把握する能力は、すべてのプライバシー影響評価（PIA）において必須の要件となっています。シスコはこの原則を自社の社内ビジネス プロセスだけでなく、お客様の個人データを処理するシスコ製品の設計フェーズにも適用しています（事例については、補足プライバシー情報の Cisco WebEx、Jabber などのプライバシー通知を参照してください）。

データのマッピングに加え、シスコは、特定のプライバシーの状況で使用するためにカスタマイズした特殊な形式のリスク評価を行います。このプライバシーのリスク評価は、個人データの漏えいにつながりかねない脆弱性を追求するという意味で技術的です。データのリスク評価では、データの分類つまり種類が、異なる段階でのデータの使用状況と密接な関係にあります。データの分類つまり種類分けと、使用状況（保管中のデータ、移動中のデータ、使用中のデータ）がデータ マッピングの間に判定されます。データの種類とその段階を組み合わせることにより、それに対応し各段階に関連する脆弱性を判定できます。シスコでは評価した脆弱性を次の 4 つの高レベルのカテゴリに分類し分析します。

• ポリシー
• 内部プロセス
• テクニカル
• 外部（たとえば、サード パーティ、規制など）

各カテゴリでは、対応、緩和、制御、モニタリングにさまざまな戦略を立てています。

マッピングとリスク評価が完了すると、営業部門に対する技術的なデータ リスクの成熟度を割り当てることができます。現在の成熟度レベルは、次のことにも影響を与えます。

• 営業部門が所有するデータのガバナンスと管理
• メトリックを含む、データ保護の技術的な制御
• データ保護の評価
• インシデントと問い合わせの管理
• サードパーティの管理（シスコのサードパーティ パートナーがシスコと同じ標準を同様に遵守しているかどうかを判定する）

「監視と適用」のセクションで定義されたビジネス要件の準拠は、許容可能な最小限の成熟度レベルです。

インシデント レスポンス
シスコは、ビジネス継続性のプロセスと統合された、企業全体での徹底したデータ インシデント対応プロセスを導入しています。職務横断的なインシデント対応チームはさまざまな部門の担当者で構成されます。チーム メンバーはガイダンスを提供し、自身の職能と役割に基づいて修復に向けたアクションを取ります。インシデント対応チームのサブグループは、法務/規制に関わる可能性によって異なる管理プロセスを必要とするデータ漏えいへの対応に専念します。

監視と適用
シスコは、一元化されたデータ保護ガバナンス モデルを展開し、ポリシーと標準の遵守の監視、モニタリング、適用を行います。これには、サードパーティの制御、ベンダーの監視、モニタリング、監査、修正などが含まれます。また、お客様、パートナー、規制機関のビジネス要件とともに、シスコのビジネス戦略、競合との差別化、リスク管理の目標に基づいて、監視と適用モデルを開発しました。

適用には、関連するメトリックとリスク評価、および内部監査と外部監査の定期レポートが含まれます。シスコは、すべての営業部門とシスコのサプライ チェーン ベンダーの全体にデータ保護ポリシーを適用しており、サプライ チェーンのベンダーに、シスコのすべての営業部門が遵守する標準と同一の厳格なサイバー セキュリティ、データ保護、プライバシー標準に従うよう求めています。

プライバシーとセキュリティのエンジニアリング
シスコは、シスコ セキュア開発ライフサイクル（CSDL）により、データ保護、プライバシー、セキュリティの要件を、発案からリリースまで一貫して製品設計と開発手法に統合しています。CSDL は 10 年以上もシスコの製品開発の一部を担っていますが、シスコは、CSDL に設計と既定によるプライバシーの原則を取り入れて更新することで、その原則をシスコのエンジニアリングに統合しました。つまり、プライバシー エンジニアリングの技術を評価と優れた製品の開発に活かし、設計と既定によるプライバシーが活動と製品の改善に実際につながるようにしています。プライバシー エンジニアリングは、データのプライバシーの原則に着目するプロジェクトの概念を発端とし、これにより、製品の価値が最大化される一方で、その技術的要件とビジネス要件を前提としたリスク管理が行われます。設計のとおり、シスコは、製品が個人データまたはその他の機密データを取り扱うかどうかを評価し、製品とアプリケーションにおける技術とプロセスにプライバシー制御を組み込むようにします。また、制御機能の組み込みとインベントリの更新が完了していることを製品のリリース前に確認します。製品を使用して運用する間、シスコまたはお客様はデータの主体からの要求と、すべてのデータ インシデントの管理を行います。製品の成熟に伴い、データまたはデータの利用におけるすべての重大な変更に、同じ CSDL サイクルが適用されます。

データ保護とプライバシーに対する従業員の意識の向上
シスコは、さまざまなマルチメディア（オンライン、印刷、ビデオ、3D など）を使用した活動を一年中行うことで、データ保護とプライバシーに関する意識を高めたり、従業員をトレーニングしたりしています。また、社内でのあらゆるレベルのコラボレーションやコミュニケーションを推進するイントラネットを継続的に運用しています。これには、GDPR とその他の法律に関する、ビジネス行動規範、データ保護、セキュリティ、プライバシー、特別なトレーニングなどが含まれます。シスコは、従業員が基本的な意識トレーニングの内容以上にあらゆる領域を進んで学べるように、Web サイトやマルチメディアのコース、自習型コース、関連する外部認定（例：GDPR のトレーニング向け Certified Information Privacy Professional (CIPP)/Europe）などを幅広く用意しています。従業員の意識とこうした規律におけるスキルがシスコの長期的な成功に不可欠であると考えています。

世界中で合法的かつ安全にデータを転送

拘束的企業準則（BCR）
シスコの  BCR-C、具体的には、データ保護とプライバシーのポリシー、標準、関連ドキュメント（「BCR-C」）が、欧州データ保護監督機関によって承認されました。これは、シスコのデータ保護とプライバシーのプログラムが GDPR を含む EU の要件を満たしていることを表します。シスコの BCR-C では、シスコがデータ コントローラとして EU の個人データを扱う際に義務付けられる最小限の標準を規定しています。BCR-C の承認により、シスコは、法的に有効な転送メカニズムを得られるとともに、世界中のどの地域で事業を営んでいても EU の個人データを EU のデータ保護標準に従って取り扱う義務を負います。

EU-米国間およびスイス-米国間のプライバシー シールド
シスコは、EU-米国間およびスイス-米国間での個人データの収集、使用、処理、移転について米国商務省が定めた両方のフレームワークに基づく承認を得ており、EU-米国とスイス-米国におけるプライバシー シールドのフレームワークの要件を遵守し、EU 加盟国とスイスから受信するすべての個人データを管理する義務を負います。また、これらのプライバシー シールドのフレームワークに従い、受信した個人データの取り扱いとその後の第三者への転送にも責任を負います。シスコは、転送責任の規定を含め、EU とスイスを起点とするすべての転送に対してプライバシー シールドの原則を遵守します。これらのプライバシー シールド フレームワークの詳細については、米国商務省のプライバシー シールドのサイトを参照してください。

外部の検証はプライバシー シールドの要件ではありませんが、シスコはその他にも、独立した第三者によるレビューによって、フレームワークの要件の遵守を確認できる手段を講じています。

APEC 越境プライバシー ルール
U.S. APEC Accountability Agent（米国の APEC 認証機関）は、シスコのグローバル プライバシー プログラムがアジア太平洋経済協力（APEC）の越境プライバシー ルール（CBPR）システムに適合していることを認証しました。CBPR は、APEC に参加する国と地域の間で転送される個人情報を企業が確実に保護するためのフレームワークを提供します。APEC のプライバシー フレームワークと CBPR の詳細については、[www.cbprs.org] を参照してください。シスコの認証は、世界中の関連会社との間で個人情報の取り扱いと転送を行うグローバル事業のビジネス プロセスに適用されます。

EU モデル契約条項を使用するシスコのマスター データ保護契約
シスコとシスコのお客様それぞれが所有する個人データを必要に応じて世界中で転送できる自由を保護するために、シスコは、マスター データ保護契約（MDPA）を利用できるようにしました。この契約をサプライヤに求め、お客様に提供します。MDPA には、該当箇所に挿入できる EU モデル契約条項が含まれています。EU モデル契約条項とは、EU ベースのデータ コントローラがその条項を契約内で使用して、EU 外にいる EU 以外のデータ プロセッサに安全に（かつ EU の要件に準拠して）個人データを転送し処理を行えるよう欧州委員会が承認した標準の契約条項です。

GDPR の準備のヒント

GDPR の中心となる考え方とは、個人データの状況、つまり保管中、使用中、移動中にかかわらずデータを保護することです。そのためには、収集と処理の対象となるデータ、その収集方法、使用方法、使用目的、データを処理する人と処理の場所、データを保護する方法などを知る必要があります。

データの把握
インベントリと、個人データのマッピングを全社的に実施します。特に、誰がデータの管理、構成、アクセス、使用、修正、削除、返却に関わるのかに注意を払います。どのようなデータを収集しているかが分かれば、戦略を立てやすくなり、誰がデータを取り扱うのかが分かれば、それを文化の一部にできます。また、説明責任を強化できます。

評価と管理
データに関するリスク、強み、機会を評価し、データの利用とアクセスに対するガバナンスを確立します。

承認と安全性
セキュリティ対策により、脆弱性とデータ侵害の防止と検出を行い、そうした問題に対処して、個人データを保護します。また、悪意のある攻撃者だけでなく、ミスや過失も予測します。システムやプロセスにプライバシー制御を組み込み、データの主体が、通知と同意、可視性、自身の個人データの制御といった機能を得られるようにします。

意識の向上
データ インシデントの報告を含む、自身とお客様それぞれの個人データの保護について、組織内の全員が関わることで、セキュリティとプライバシーを重視する文化を形成します。脅威、攻撃者、脆弱性、リスクは絶えず拡大しているため、常に認識を新たにすることが不可欠です。

GDPR を理解する

スタートアップの若き CEO、Tom Mueller と一緒に GDPR について学びましょう。Tom は、GDPR のさまざまなレベルと、GDPR が自身のビジネスとその運営にとって何を意味するのかについて理解を深めていきます。