先鋭的な EU のデータ保護規制、一般データ保護規則(GDPR)が全面的に発効してから数ヶ月が経ちました。これは、世界中の企業が、収集する EU 在籍者の個人データを取り扱う方法をより慎重なものにして、情報の安全性とプライバシーを確保する必要があることを意味します。さもなければ、すでに複数の企業が違反を問われているように、高額な罰金が科される可能性があります。 ですが、この規制になかなか対応しきれていない企業も多いようです。EU加盟7カ国のニュースサイトの調査によると、GDPR が施行されて以来、ウェブページあたりのサードパーティーの Cookie の量が22%減少したものの、個人情報保護方針同意バナーの増加量はわずか16%にとどまっています。
GDPR 発効の前後に「個人情報保護方針更新のお知らせ」のメールが大量に押し寄せたことを思い起こすと、この数字は予想ほど大きい数字ではありません。これは何を意味するのでしょうか?
これは、多くの企業で GDPR コンプライアンスへの対応が非常に遅れていることを意味し、それはとりもなおさず、GDPR データ保護の原則を掘り下げるシリーズを継続するのに(遅れましたが)遅過ぎではないことを意味します(笑)。
GDPR シリーズでは、データ保護の7つの原則について掘り下げ、データを保護して GDPR やその他の規制ガイドラインを遵守するにはどうすべきかを論じています。
シリーズの最初のブログでは、GDPR の概要とデータ保護の第一原則(正当で、規則に準じた、明確なデータ処理)を説明しました。2回目のブログで、第二・第三原則、「目的の限定」と「必要な最小限データ」を取り上げ、それに続く第四・第五原則、「正確性」と「保持期間」を、3回目のブログで論じました。
最後にこのブログで、第六原則「完全性と機密性」と、第七原則「説明責任」を取り上げて、締めくくりたいと思います。
原則6:完全性と機密性
GDPR の第六原則は、セキュリティに関するものであり、規制当局が提示する7つの原則の中でも最も重要なものの1つです。
第六原則は、データが「適切な技術的または組織的措置を用いて、不正または不法な処理から保護し、偶発的な紛失、破壊または損傷が生じないように保護するなど、個人データのセキュリティを適切に保証する方法で」処理される必要があると規定しています。
もう少し端的に言い換えると、組織は、盗難、破壊、または偶発的な損失が生じないよう、安全な方法で個人識別情報(PII)を取り扱わなければならないということです。「適切な技術的または組織的措置」を用いなければならないといった表現はかなり曖昧であり、テクノロジーやベストプラクティスが進化し変化し続けているため、義務的なセキュリティ手順に関しては意図的に曖昧に書かれた可能性が高そうです。
送信中・保管中のデータの暗号化、二要素認証の使用、誰がいつどのようにアクセスしたかを追跡できる改ざん防止ロギングなど、セキュリティ上のベストプラクティスを確立するように求めているようにも聞こえます。PII をセキュリティ保護されていない S3 バケットに保管するのに慣れた組織には大変なことのように思えるかもしれませんが、それほど多大な労力をかけることなくこれらを実施することは可能です。GDPR コンプライアンスが必要かどうかにかかわらず、セキュリティ上のベストプラクティスを確立することを推奨します。
原則7:説明責任
第六原則はセキュリティに明示的に重点を置いている唯一の原則ですが、第七原則は最も包括的な原則であり、最も気になる点が示されています。
第七原則は、簡潔に、「データ管理者は、(先行する原則への)コンプライアンスに責任を負い、コンプライアンスを証明することができなければならない。」と述べています。
先行する6つの原則に準拠していることを証明できない場合、恐ろしい結果が待っているかもしれません。罰金は、最高で約25億円か、世界での年間売上高の4%のいずれか高い方の金額に及びます。EU 在籍者の個人情報を収集、保管、処理する組織は、GDPR コンプライアンスが必須です。組織がどこに拠点を置いているかは関係ありません。EU 内に物理的に存在しない企業であっても、GDPR を遵守しなければなりません。
ところで、コンプライアンスとはどのようなことを指すのでしょうか?どうすればコンプライアンスを証明したことになるのでしょうか?GDPR は、企業がどのようにコンプライアンスを実証するべきかの説明を行っていません。これは、ビジネスの種類、取り扱うデータ、組織の規模によって大きく異なるためです。しかし、組織の規模の大小にかかわらず、監査に対する準備はできている方がいいでしょう。セキュリティ・インシデントや PII へのアクセスのロギング、内部監査などの一般的なベストプラクティスも実施するに越したことはありません。
さらに、業務に関して、どこが弱いかを特定し、セキュリティコントロールを実装したり改善したりする必要があるかを確認するリスク査定を行うことも検討するべきでしょう。
マネージド・ファイル・トランスファーがコンプライアンス徹底を支援
企業が EU 在籍者の個人情報を収集、保管、処理、または送信する場合は、GDPR、一般データ保護規則が適用されます。厳しいこの規制に違反しないようにするには、個人データの送信に関わるシステム、ユーザー認証、および暗号化技術が安全で GDPR に準拠していることをしっかり確認する必要があります。
MOVEit のような信頼できるマネージド・ファイル・トランスファー・ソリューションは、企業の GDPR コンプライアンス徹底を様々な方法で支援します。
- 自動ファイル整合性チェックで、ファイルが変更されていないことを検証でき、不正確なデータが発生したり、データに不正なアクセスが行われたりすることを防ぐことができます。
- 転送中と保存中のデータ暗号化。MOVEit は、転送中のファイルには SSL または SSH、ディスク上のファイルには FIPS 140-2 で検証された 256ビット AES を使用して、転送中と保存中両方のファイルを暗号化します。暗号化により、データが盗まれたとしても、ファイルと処理する PII の安全が確保できます。
- ファイル転送アクティビティの詳細な改ざん防止ログにより、誰が、いつ、どこで、どのようにデータにアクセスしたのかを正確に知ることができます。万一改ざんが発生しても、すぐに対処することができます。
- 組み込みのデータ否認防止機能で、誰がファイルをアップロードしたか、誰がファイルをダウンロードしたか、アップロードされたファイルとダウンロードされたファイルが同一であるかどうかがわかります。ファイルにアクセスできるユーザーを認証し、そのアクセスの信頼できるログを得ることができます。
GDPR に関しては、イプスイッチの次の資料をご参考ください。
また、以下は GDPR の7つの原則の短い紹介ビデオ(日本語、音声なし)です。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.