Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > GDPR規制当局は、もはや侵害だけを罰しているわけではありません。本来備えるべきセキュリティ対策の不備も処罰対象になっています。

GDPR規制当局は、もはや侵害だけを罰しているわけではありません。本来備えるべきセキュリティ対策の不備も処罰対象になっています。

by Uri Kedem updated 2月 25, 2026 EU一般データ保護規則コンプライアンス
Reading Time: 11 minutes

ヨーロッパのデータ保護執行において、すべてのコンプライアンスおよびセキュリティ責任者が理解すべき変化が起きています。これは微妙な変化ではなく、データセキュリティへの投資方針そのものを変えるものです。

Gibson Dunnによる2026年2月の欧州データ保護アップデートは、最近のGDPR執行事例を要約し、新たな現実を明確に示しています。規制当局はもはや侵害発生時の対応だけに注目していません。侵害前にどのような対策が講じられているべきだったかに焦点を当てています。そして、今や規制当局が「最低限必要」とみなす管理策が欠如している場合、数千万ユーロ規模の罰金が科されています。

このアップデートで紹介された2つの事例がその傾向を示しています。1つ目は、20年以上にわたり登録された個人データに攻撃者がアクセスしたことを受けて、規制当局がある機関に制裁を科したケースです。指摘されたのは、不十分なパスワードポリシー、多要素認証(MFA)の未導入、不十分なログ記録と監視体制——いずれもGDPR第32条「適切な技術的および組織的措置」に違反しています。2つ目は、通信事業者グループが約2,400万件の契約者データに攻撃者がアクセスされたことで、数千万ユーロの罰金を科されたケースです。ここでは、認証の脆弱性、第33条に基づく不完全な侵害通知、第5条1項(e)に基づく違法なデータ保持が指摘されました。

一貫しているのは、規制当局が侵害そのものだけでなく、侵害を可能にした構造的な弱点を罰している点です。しかも、指摘されている弱点は、ほとんどの組織が何年も前に修正できていたはずのものばかりです。

5つの重要なポイント

  1. 規制当局は構造的なセキュリティの弱点自体を罰しており、侵害結果だけが対象ではありません。Gibson Dunnの2026年2月欧州データ保護アップデートは、執行の大きな転換を示しています。規制当局は、侵害による明確な損害が発生するまで罰金を科すのを待つのではなく、侵害を可能にした、または影響を拡大させた根本的な構造的弱点——不十分な認証、不十分なログ記録・監視、違法なデータ保持——そのものを罰しています。メッセージは明確です:管理策が不十分であれば、最悪の事態が実際に起きたかどうかに関係なく、責任を問われます。
  2. 20年以上保持されたデータで、MFAなし・ログなし・監視なしの機関に罰金。攻撃者は20年以上にわたり登録されていた個人データにアクセスしました。規制当局は、不十分なパスワードポリシー、多要素認証の未導入、不十分なログ記録・監視体制をGDPR第32条違反として指摘しました。組織は侵害そのものだけでなく、本来防止または検知できたはずの管理策の欠如についても制裁を受けました。罰金および是正命令は、これらが「最低限の期待値」であり、目標ではなく基準であるという規制当局の認識を反映しています。
  3. 2,400万件の契約者情報流出で通信事業者に数千万ユーロの罰金。攻撃者は約2,400万件の契約者データにアクセスしました。規制当局は、認証の脆弱性、第33条に基づく不完全な侵害通知、第5条1項(e)に基づく違法なデータ保持を指摘しました。罰金は数千万ユーロに達しました。この事例は、規制当局が複数の観点から同時に評価していることを示しています:侵害を防止できたか、検知できたか、報告できたか、既に削除すべきデータを保持していなかったか。
  4. 第32条は今やMFA・リアルタイムログ・自動保持管理を明確に要求。両事例を通じて、執行事例は「適切な技術的および組織的措置」が実際に何を意味するかを定義しています:MFAを含む強力な認証、リアルタイムのログ記録と不正アクセス検知、厳格なデータ最小化と保持管理。これらはもはや推奨事項ではなく、規制上の最低基準です。
  5. 証明責任の転換——「遵守している」と主張するだけでなく、証拠の提示が必須に。第5条2項のアカウンタビリティ原則は、組織に「適切な措置が講じられている」ことの証明を求めています。これらの事例は、規制当局が予防的管理策(MFA、アクセス制限)や検知的管理策(ログ、監視)が実際に運用されていたか、そしてその証拠を提出できるかを調査することを明確に示しています。「適切な措置がある」と技術的証拠なく主張するだけでは、もはや弁明になりません。

2026年における「適切な技術的措置」の具体的な意味

長年にわたり、GDPR第32条は、組織に「適切な技術的および組織的措置」の導入を求めてきました。その文言は意図的に幅広く、組織が直面するリスクに応じて「適切さ」を判断する柔軟性を与えていました。

しかし、その柔軟性は狭まりつつあります。Gibson Dunnが強調した執行事例は、「適切さ」がより具体的に定義されつつあることを示し、しかもその基準は決して高くありません。むしろ基本的です。多くのコンプライアンスフレームワークが長年推奨してきたセキュリティの基本です。違いは、規制当局がこれら基本策の未実施を違反として扱い始めた点にあります。侵害の影響に関係なくです。

MFAを含む強力な認証。両事例とも認証の脆弱性が違反として指摘されました。パスワードのみでは、もはや個人データを扱ういかなるシステムでも十分とは言えません。特に機関の事例では、多要素認証の未導入が問題視されました。規制当局にとってMFAはもはや「ベストプラクティス」ではなく「必須要件」です。しかも、その期待は単なるMFA導入にとどまらず、リスクの高い操作(大量ダウンロードや外部共有など)に対するステップアップ認証、管理デバイスへのアクセス制限、予期しない場所からのアクセスを検知するジオロケーション制御など、状況に応じた認証まで及びます。

リアルタイムのログ記録と検知。機関の事例では「不十分なログ記録と監視」が明確な違反として指摘されました。規制当局は、組織が不正アクセスを発生時に検知できることを期待しています——数週間や数か月後のフォレンジック調査で発覚するのではなく。つまり、個人データへのアクセスイベントすべて(誰が、何を、いつ、どこから、どのようにアクセスしたか)を記録する包括的な監査証跡が必要です。また、不審なアクセスパターンや大量ダウンロード、認証失敗の繰り返しなどに対するリアルタイムのアラートも求められます。さらに、事後改ざんできない「イミュータブル」なログ——改変不可能な記録が必須です。

厳格なデータ最小化と保持管理。機関の事例では20年以上にわたり個人データが保持されていました。通信事業者の事例では「違法な保持」が指摘されました。第5条1項(e)の保存期間制限原則は、個人データは収集目的に必要な期間のみ保持しなければならないと定めています。規制当局はこの原則を、もはやガイダンスではなく罰金で執行しています。組織には、指定期間経過後に個人データを自動削除する保持ポリシー、訴訟対象データのみを保存し他は削除するリーガルホールド管理、そして削除が適切に行われたことを証明する削除監査証跡が求められます。

証明可能なコンプライアンス。第5条2項のアカウンタビリティ原則は、すべてを貫く要素です。「適切な措置」があるだけでは不十分で、それを証明できなければなりません。規制当局から「インシデント発生時にMFAが導入されていたか」と問われた際には、導入済みであることを示す証拠が必要です——「導入すべき」と書かれたポリシー文書ではなく。また、不正アクセスの監視状況を問われた際には、監査証跡やアラート設定の実態が必要であり、昨年のセキュリティレビューのスライドでは足りません。

GDPRコンプライアンス完全チェックリスト

今すぐ読む

なぜインフラが執行対象となり、単なるインシデント対応では済まされないのか

この執行傾向は突然現れたものではありません。規制当局は長年にわたりガイダンスを発表し、警告を発し、期待値を明確にしてきました。構造的な弱点への制裁への転換は、ガイダンスだけでは十分な効果が得られなかったという結論の現れです。

その結論を裏付ける数字もあります。平均的なデータ侵害の損失額は世界平均で4.88百万ドル、ヘルスケア分野では10.93百万ドルに達します(IBMデータ侵害コストレポート2024)。GDPR違反の罰金は最大2,000万ユーロまたは世界年間売上高の4%に及びます。さらにEU AI法では、高リスク違反で最大3,500万ユーロまたは売上高の7%の罰金が追加されます。AIエージェントや生成AIツールが個人データを処理する機会が増え、組織がすべてのチャネルを完全に把握できない状況が増す中、最低限の管理策が導入されていることを証明する規制圧力は今後さらに強まるでしょう。

執行メッセージもより高度化しています。これらの事例で規制当局は、単に侵害を発見して罰金を科したのではありません。侵害を防止できた予防的管理策(MFA、アクセス制限)、早期発見できた検知的管理策(ログ、監視)、第33条の72時間要件を満たす対応的管理策(侵害通知)、そしてデータ流出量を減らせた保持管理策があったかどうかを評価しています。各管理策の欠如は個別の違反と見なされ、罰金が累積されます。

多くの組織がGDPRセキュリティコンプライアンスでいまだに誤解していること

これらの事例が明らかにする不都合な真実があります。多くの組織は「適切な措置がある」と主張していますが、規制当局の精査下でそれを証明できません。ポリシーと現実のギャップこそが、罰金の温床です。

認証のギャップ。多くの組織はMFAポリシーを持っていますが、個人データを扱うすべてのシステムで一貫してMFAを強制している例は少数です。レガシーなファイル共有基盤、メールシステム、マネージドファイル転送ツールには、規制当局が今や期待する認証管理策が欠如していることが多いのが現状です。消費者向けファイル共有ツールは基本的な認証しか提供せず、リスクの高い操作に対するステップアップ認証やデバイス信頼検証、ジオロケーション制御などはほとんどサポートされていません。規制当局が執行時に確認するのはポリシー文書ではなく、技術的な実装状況です。

ログ記録のギャップ。多くの組織は一部の活動をログ化していますが、すべてのチャネル(ファイル共有、メール、マネージドファイル転送、Webフォーム、API)で個人データへのアクセスイベントを完全かつ改ざん不可能な監査証跡として記録している例はごくわずかです。ツールが分散していればログも分断され、各システムごとに形式や保持期間、抜け漏れが生じます。規制当局から「誰がいつどの個人データにアクセスしたか」の完全な記録を求められた際、多くの組織は提出できないことに気付きます。機関の事例で「不十分なログ記録」が違反とされたのは、記録が不完全・網羅的でない・改ざん防止されていない場合を指します。

保持管理のギャップ。データ保持はGDPR要件の中でも多くの組織が最も苦戦する分野です。保持ポリシーを作成するのは簡単ですが、個人データが存在するすべてのシステムで自動的に適用・強制するのははるかに困難です。メールアーカイブ、ファイル共有、バックアップ、コラボレーション基盤——個人データは数十のリポジトリに分散して蓄積されます。自動保持強制がなければ、データは目的を超えて何年も残存します。機関の事例では20年以上データが保持されていました。これはポリシーの失敗ではなく、インフラの執行力の失敗です。

ドキュメントのギャップ。第5条2項は、組織に「コンプライアンスを証明する」ことを求めています。規制当局が調査に入った際には、MFA強制率やアクセス制御設定、保持コンプライアンスを示す事前構築済みのコンプライアンスレポートが求められます。技術的・組織的措置の監査対応ドキュメント、侵害通知(第33条の72時間要件)に必要な完全なフォレンジックタイムライン、そして第30条に基づく実際の個人データ処理状況の記録も必要です。ポリシー上の理想ではなく、現実の運用状況が問われます。

ポリシーと証明可能なコンプライアンスのギャップを埋めるには

Gibson Dunnのアップデートで紹介された執行事例は、適切なインフラがあれば完全に防げた失敗です。ファイル共有、メール、マネージドファイル転送、Webフォームごとに認証・ログ・保持機能がバラバラなツールを寄せ集めるのではなく、すべてのチャネルで個人データを一元的にガバナンスし、統一された管理策と単一の監査証跡を提供する統合プラットフォームが必要です。

Kiteworksのプライベートデータネットワークは、まさにこのコンプライアンス課題のために設計されました。Gibson Dunnの事例で指摘された違反すべてに対し、追加機能ではなく設計思想として対応しています。

認証面では、Kiteworksはすべての個人データアクセスにMFAを強制し、大量ダウンロードや外部共有などリスクの高い操作には状況に応じたステップアップ認証を実装。SSO連携によりエンタープライズIDプロバイダーでのMFA強制も可能です。デバイス信頼により、管理された準拠デバイスからのみアクセスを許可。ジオロケーション制御で予期しない場所からのアクセスを検知・ブロックします。これらはすべて、執行事例で規制当局が「欠如」と指摘した管理策そのものです。

ログ・監視面では、Kiteworksはすべてのチャネルで「誰が、何を、いつ、どこで、どのように」個人データへアクセスしたかを記録する包括的かつ改ざん不可能な監査証跡を提供。リアルタイムアラートで不審な活動を即座にセキュリティチームに通知。AIによる異常検知で侵害の兆候となるアクセスパターンも特定。SIEM連携により、他のセキュリティイベントと相関分析できるようログをエンタープライズ基盤にエクスポートします。これこそ、両事例で規制当局が期待し、実際には見つけられなかったログ・監視インフラです。

保持管理面では、Kiteworksは指定期間経過後に個人データを自動削除する保持ポリシーを強制し、訴訟対象データのみを保存し他は削除するリーガルホールド管理も実装。削除監査証跡で、規制当局に対しデータが適切に削除されたことを証明できます。データ分類タグにより、カテゴリごとに適切な保持ルールを適用。これが、20年にわたるデータ蓄積や違法な保持を防ぐインフラです。

証明可能なコンプライアンス面では、KiteworksはGDPR特化の事前構築済みコンプライアンスレポート、CISOダッシュボードによる個人データアクセスとポリシー違反のリアルタイム可視化、監査対応ドキュメント、そして第33条72時間要件に対応した完全なフォレンジックタイムライン付きの侵害通知サポートを提供します。規制当局から「適切な措置の証拠」を求められた際、Kiteworksを利用する組織は即座に提出できます——なぜなら、このプラットフォームは証拠を継続的に生成し続けるからです。

AIエージェントが第32条コンプライアンスをより困難かつ緊急にする理由

これらの執行事例は従来型の侵害シナリオ——攻撃者がシステムを侵害して個人データにアクセスする——を扱っています。しかし、第32条が求める要件は、組織がAIエージェントや生成AIツールを大規模に導入し個人データを処理する時代には、指数関数的に難易度が上がります。

個人データにアクセスするAIエージェントごとに、新たな認証・アクセス制御が必要です。AIによる個人データのやり取りもすべてログ化が必要です。AIツールが個人データを処理する場合も、保持ポリシーの遵守が求められます。そして、すべてのAI-データインタラクションが監査可能で、規制当局に証明できなければなりません。

従来システムでMFAや十分なログが欠如していたことで数千万ユーロの罰金が科されている現状を考えれば、同じ弱点がAIエージェントのワークフローに存在する場合、その執行リスクはさらに高まります——データがより高速・大量に、かつ人手を介さず移動するためです。

KiteworksのAIデータゲートウェイおよびセキュアMCPサーバーは、同じ第32条管理策——認証、ログ記録、アクセスガバナンス、保持強制——をAIインタラクションにも拡張します。個人データへのアクセスがファイル共有経由の人間ユーザーであれ、API経由のAIエージェントであれ、管理策・監査証跡・コンプライアンス証拠はすべて同一です。ワンプラットフォーム、ワンポリシーエンジン、ワンイミュータブルレコード。

執行の方向性は明確。問われるのは「備えができているか」

Gibson Dunnの2026年2月アップデートは、コンプライアンス担当者が自分ごととして受け止めるべき内容です。規制当局はもはやデータ保護ポリシーの有無には関心がありません。実際にそれを強制できる技術インフラがあるか、そして精査時に証明できるかが問われています。

これらの事例で指摘された違反——MFA未導入、リアルタイムログなし、自動保持管理なし、違法なデータ蓄積——はいずれも特別なものではなく、基本的なセキュリティ衛生の失敗です。そして、まさに規制当局が「高額な代償を課す」と決めた失敗です。

この執行環境を乗り切れる組織とは、すべての個人データアクセスにMFAが強制され、すべてのアクセスイベントが改ざん不可能な監査証跡に記録され、保持ポリシーが自動かつ監査可能に運用され、侵害発生から72時間以内に完全なフォレンジックタイムラインを再構築できる証拠を即座に提出できる組織です。

その証拠を提出できない組織こそが、罰金の小切手を書くことになります。そして、最近の判例を見る限り、その金額は年々増加しています。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

はい——まさにGibson Dunnの2026年2月アップデートが明確に示している執行の転換です。規制当局は、実際の損害とは無関係に、侵害を可能にした構造的なセキュリティの弱点自体を罰するようになっています。第5条2項のアカウンタビリティ原則により、証明責任は組織側にあります。適切な管理策が導入されていたことを証明しなければなりません。MFAやリアルタイムログ、自動データ最小化管理策が欠如していれば、それ自体が違反であり、たとえ侵害の影響が最終的に限定的だったとしても、情状酌量にはなりません。

最近の執行事例に基づき、規制当局は第32条の最低基準として3つの管理策を重視しています。第一に、強力な認証:個人データを扱うすべてのシステムでMFAを強制し、大量ダウンロードや外部共有などリスクの高い操作には状況に応じたステップアップ認証を実施。第二に、リアルタイムログ:すべての個人データアクセスイベント(誰が、何を、いつ、どこで)を記録する包括的かつ改ざん不可能な監査証跡と、不審なパターンへの即時アラート。第三に、自動保持強制:定められた期間経過後に個人データを削除し、その削除記録でコンプライアンスを証明。いずれもポリシー文書があるだけでは不十分で、実際に強制できる技術インフラが必要です。

第5条1項(e)は、個人データを本来の目的に必要な期間のみ保持し、その後は削除または匿名化することを求めています。Gibson Dunnの執行事例では、過剰なデータ保持自体が独立した違反として扱われています:ある機関は20年以上データを保持し、通信事業者の事例でも「違法な保持」が侵害とは別に指摘されました。実務上は、自動的に保持期間を管理するスケジュールが必須であり、訴訟対象データのみを保存し他は削除するリーガルホールド機能、そして規制当局から求められた際に削除証拠を提出できる監査証跡も必要です。

人によるアクセスと同様に——包括的なログ記録、リアルタイム監視、改ざん不可能な記録——すべての個人データアクセスシステム(AIエージェント含む)に第32条要件が適用されます。AIエージェントは機械速度・大量で動作するため、管理されていないアクセスは発覚前により多くのデータを流出させるリスクがあります。規制当局は従来システムで「不十分なログ記録」に罰金を科しており、同じ基準がAIワークフローにも適用されます。すべてのAI-データインタラクションは、ID・タイムスタンプ・アクセスデータ・実行アクションを含む改ざん不可能な監査証跡として記録され、第5条2項のアカウンタビリティ原則に基づき規制当局に提出できなければなりません。

第33条は、個人データ侵害を認知してから72時間以内に管轄監督機関への通知を義務付けています。通知内容には、侵害の性質、影響を受けたデータ主体・記録のカテゴリと概数、想定される影響、講じたまたは予定している対策が含まれなければなりません。Gibson Dunnの通信事業者事例では「不完全な侵害通知」により制裁が科されました——これは通知内容が基準を満たしていなかったことを意味します。ほとんどの場合、原因はログインフラの不備です:包括的な監査証跡やリアルタイム監視がなければ、72時間以内に「何が起きたか」「誰が影響を受けたか」「どのデータが流出したか」を再構築できません。SIEM連携やフォレンジックタイムライン機能は、第33条対応と第32条ログ要件が不可分であることを示しています。

追加リソース

  • ブログ記事GDPRデータレジデンシー要件の理解と遵守
  • ブログ記事GDPR準拠でPIIをメール送信する方法:セキュアメールコミュニケーションのガイド
  • ブログ記事EU新データプライバシー法に対応するためのGDPRコンプライアンス達成法
  • ブログ記事GDPR違反なしで国際パートナーとファイル共有する方法
  • ブログ記事GDPR準拠フォームの作成方法

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks