SSL登録(セキュリティ対策)していないサイトが裁判で負けた
2018.11.26
カテゴリー:【治療院経営】今冨貴夫
ドイツでSSL登録(セキュリティ対策)していないサイトが裁判で負けた
株式会社ラポールスタイル今冨です。業務提携しているドイツの弁護士から急報が入りました。「ドイツでHPを運営している企業でSSL登録(セキュリティ対策)していないサイトが裁判で負けたので一早くSSL登録(セキュリティ対策)をしていないサイトは対策する必要がある」といった内容でした。しかも顧客情報などをHPに公開していないHPを運営している企業が裁判で負けて罰金刑となっておりますので日本のサイトも要注意であります。
治療院の先生も必ず把握する必要がある「GDPR十分認定」
「一般データ保護規則(GDPR:General Data Protection Regulation)」は個人情報保護の強化を目的とし、2018年5月25日にEU(欧州)で施行されました。簡潔にお伝えするとHPのセキュリティ対策をしていなかったり、顧客情報を漏洩したりなど最低限行わなければならないセキュリティの義務違反を行うことで尋常じゃない額の罰金(※以下画像に制裁金の詳細を記載)を支払わなければならない法律です。
GDPRはEU域内の個人情報の取り扱いを規制する法律ですが、EUからEU域外に移転する個人情報についても規制しているため、日本に移転される個人情報についても規制が課せられます(※日本へのデータ移転(十分性認定)は2018年秋頃認可されることが決定)。
ここまでの話は欧州と日本で治療院を運営している方以外は全く関係ないのですが、2017年に改定された日本の個人情報保護法は欧州の法律と対等と認定されているため、今回のGDPR十分性認定に伴い個人情報をHPで扱っていなかったとしても最低限のセキュリティ対策(SSL)を怠っていたという理由で刑事罰・民事罰の対象になり得る可能性があるということです。
ポルトガルの病院。患者データを全従業員がアクセスできたため約5000万円の罰金
治療院ではカルテの管理なども行っているかと思いますが、ポルトガルの病院では患者データを全従業員がアクセスできる環境にしていただけで約5000万円の罰金が裁定されております。日本の個人情報保護法ではそこまでの制裁金はありませんが、今回のGDPR十分性認定に伴い個人情報の取り扱いについてはできるだけデータ管理担当者を限定するなどの処置を行う必要があります。
【まとめ】
結論HPのセキュリティ対策(SSL)はGOOGLEも推奨しているので絶対に行うこと、そして顧客情報の管理をできるだけ多くのスタッフに関与させないことさえ守っていただければ問題なしです。2020年東京オリンピック、2025年大阪万博、外国人労働者増に伴い、事前に準備しておくことでマイナスな要因になることは一切ございません。先生方には準備と計画のスペシャリストになって頂ければ幸いです。