SFTP では GDPR コンプライアンス対応は困難

GDPR が施行されて2カ月が経過しましたが、まだ、どこも手探り状態のようです。一般データ保護規則は、拠点が EU かどうかにかかわらず、EU 在籍者の個人データを処理するすべての組織に適用され、コンプライアンス違反に対する罰則は、最高で年間売上高の4％に達します。データ収集の方法によっては明らかに GDPR 違反のこともありますし、業務プロセスがコンプライアンスのグレー領域にあるようで頭を掻きむしっている人もいるかもしれません。

SFTP と GDPR コンプライアンスのグレー領域

Secure FTP (SFTP) は、このややこしい GDPR コンプライアンスのグレー領域にあると言えます。このプロトコルが GDPR 要件を満たしていると誤解している企業も多いと思われます。SFTP は間違いなく実用的ですが、GDPR コンプライアンス対応ができるとは言い切れません。GDPR の重い罰金を科されないためには、この点を理解しておくことが大切です。SFTP では GDPR コンプライアンス対応が困難なのはなぜかを考察する前に、このプロトコルの特性を確認しましょう。

セキュアファイル転送プロトコル（Secure File Transfer Protocol）は、1990年代半ばに開発された比較的新しい技術で、セキュアシェル（Secure Shell）プロトコルを使用して保護された接続を介してファイルやその他のデータを転送することができます。FTP との違いは、FTP がテキストベースなのに対して、SFTP はパケットベースであるという点です。SFTP ではデータ送信量が少ないため、長期的には FTP より高速になります。さらに、SFTP のファイル転送はメインコントロール接続でインラインで実行されるので、ファイル転送用に別のデータ接続を開く必要がなくなります。

SFTP で GDPR コンプライアンス徹底可能か

以上を踏まえたうえで、SFTP が GDPR コンプライアンスに十分かどうかを考察します。言葉の響きとは違って、セキュアなファイル転送プロセスであっても、セキュリティ違反や GDPR 違反に結びつくかもしれない制約を持ち得ます。というのは、データの暗号化、FTP 自動化、FTP の可視性、組織の拡大と複雑さにマッチする適切な拡張性など、規定されているいくつかの重要な要件を満たさない場合があるからです。

GDPR 時代は、個人データの外部へのファイル転送プロセスを注意深くチェックする必要があります。データ転送アクティビティは、便利で迅速ですが、個人データ漏洩のリスクを増大させます。たとえば、FTP サーバーにアップロードされた個人データは暗号化されず、削除されることもほとんどありません。セキュリティパッチは最新情報で更新しないと、サイバー犯罪者に容易なアクセスを許してしまいます。アクセス許可を集中管理できない場合、ユーザーの資格情報が漏洩する危険もあります。

FTP データ転送には、PERL、BASH、VB、PowerShell などの文書化されていない言語で記述されたスクリプトを使うことがよくあります。これらのスクリプトで記述されたワークフローを複数の FTP サーバーにインストールすると、混乱が生じ、個人データの処理が承認された方法と違う形で行われる可能性があります。さらに、GDPR は、GDPR コンプライアンスの証拠を提出することも規則化しています。複数の FTP サーバーから監査ログを収集してまとめ、提出できる形にするには、手間も時間もかかります。監査者は、単一ソースからの一貫した形式のログデータが、改ざん防止データベースに保存されることを好み、寄せ集めのログデータには疑いの目を向けます。

既存の SFTP 環境を GDPR コンプライアンスにアップグレード可能か

では、既存の SFTP 環境を GDPR コンプライアンスにアップグレードするのはどうでしょうか？残念ながら、この戦略は根本的な欠陥を含んでいます。これを行うには、すべての外部転送プロセスが安全なプロトコルと暗号化を使用していることを保証する必要があります。さらに、アップグレードのプロセスには、保管中のすべてのデータを保護するために AES-256 暗号化を追加する必要があります。GDPR コンプライアンスのために安全性と説明責任を保証する大変な作業ですが、それでも十分ではなく、最終的には実りのない努力になってしまいます。Secure FTP は、置き換えられた FTP サーバーの持つ脆弱性とリスクを継承してしまうからです。

前述のように、組織が EU 在籍者の個人情報を収集、保管、処理、または送信する場合は、GDPR が適用されます。コンプライアンス違反を避けるためには、個人データの収集と送信に関連するシステムで、ユーザー認証や暗号化技術が整備されていることを確認することが重要です。GDPR 時代には Secure FTP は十分ではありませんが、マネージド・ファイル・トランスファー・ソリューションなら対応可能です。これらのソリューションを使うと、GDPR が規定する制約、転送中と保管中の個人データの暗号化、送信者と受信者間でのみデータが確実に転送されることを保証する否認防止機能、DLP とアンチウイルスの統合、境界セキュリティ、集中アクセスコントロール、などを満たすことができます。

GDPR 違反のペナルティは極めて厳しいので、どんな組織でも軽視すべきではありません。たとえ組織が EU の顧客データを扱っていないとしても、早晩同様レベルの厳しい規制が世界の他の地域でも適用されるようになるでしょう。GDPR コンプライアンスを考えておくのは、将来への備えにもなります。

GDPR とコンプライアンスに関連する以下のホワイトペーパーをご参照ください。

• ファイル転送と GDPR
• GDPR 一般データ保護規則への準備
• データ保護のコンプライアンスを徹底するための７項目
• IT管理者ガイド：情報セキュリティとコンプライアンス