【GDPR対策をDIYするブログ】第7回 ルール決定と文書化(最終回)

Reading Time: 2 minutesこの記事の所要時間: 約 7分 第7回 ルール決定と文書化(最終回) 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第6回は「GDPRにおけるIT対策」について説明しました。 今回、第7回は、これまで6回分に渡り検討してきたGDPR対策の内容を規定とし文書にする「ルール決定と文書化」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑩抜粋)」、GDPR運用マニュアル(全文)、GDPRインシデント対応マニュアル(目次)のを文末にてダウンロードいただけます。 1.十分性認定 2019年1月23日に欧州連合は、EU一般データ保護規則(GDPR)の日本に対する十分性認定を付で決定した。 この決定以前は、・BCR(Binding Corporate Rules:拘束的企業準則)の締結 (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認) ・SCC(Standard Contractual Clauses:標準契約条項)の締結 (データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)Model contracts for the transfer of personal data...

セキュリティ , 一般 , 未分類 2 min read

【GDPR対策をDIYするブログ】第6回 GDPRにおけるIT対策

Reading Time: 2 minutesこの記事の所要時間: 約 7分 第6回 GDPRにおけるIT対策 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第5回は「ギャップ分析と対応策の検討を行う」について説明しました。 今回、第6回はGDPR要件に対するギャップへの対応として大きな役割を果たす「GDPRにおけるIT対策」についてご説明します。 1. 個人データ取扱の保護 GDPR第32条 取扱いの保護 では個人データを組織的および技術的に適切に適切な対策を行うことが求められています。また、第33条では、個人データ保護違反時には72時間以内にデータ保護監督機関に通知することが義務付けられています。 ■「取扱いの保護」において求められる「IT対策」 GDPR第32条 1項において「IT対策」として求められる事項として以下4つが挙げられています。 (a)  個人データの仮名化及び暗号化 (b)  現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力。 (c)  物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力 (d)  取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。 ■個人データの仮名化及び暗号化 ここではGDPRにおける「仮名化」と「暗号化」そして「匿名化」について解説します。 ・「仮名化」と「暗号化」 個人データが特定可能なメールアドレスや氏名などの情報について特定不可能な文字や英数字などに置き換える処理を施したものを指します。また、一定の処理を施すことで個人データに戻すことができる状態を指します。「仮名化」の一つの例として「暗号化」があります。...

セキュリティ 2 min read

【GDPR対策をDIYするブログ】第5回 ギャップ分析と対応策の検討を行う

Reading Time: 1 minutesこの記事の所要時間: 約 7分 第5回 ギャップ分析と対応策の検討を行う 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第4回は「データマッピングおよび処理者へGDPR対応状況の確認」について説明しました。 第5回は「ギャップ分析と対応策の検討を行う」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 1. ギャップ分析 ■「ギャップ分析」の目的 前回データマッピングの結果や処理者へのアンケート調査などの結果から、GDPRに準拠するために対応が不足している箇所を特定し、対策を検討する材料とする。 ■「ギャップ分析」の方法 ギャップ分析の方法は以下のようなものがあります。 ・データマッピングの結果を基にGDPRの要求事項とのギャップを特定する。 ・処理者調査票の結果からギャップを特定する。 ・ITシステムに特化したセキュリティ対応状況を確認する。 ・GPDRの要求事項と照らし合わせて対応有無を確認する。 ■「ギャップ分析」にて主に確認すべき事項 EEA域内の個人データを扱う対象データに関して、データマッピングの結果において、例えば、潜在顧客を集めるためのメールマガジンを対象にした場合に、以下のような事項についてそれぞれ、対応が十分なのか、不十分なのか、対応を予定しているのか(それが実施される時期はいつか)などについて確認を進めていきます。集めるデータによって、オペレーションやプロセスが変わる場合にはデータ毎に確認を進める必要があります。 ・個人データの取得取扱い ‑ 個人データはあらかじめ利用目的を説明し、書面等、記録が残る形でデータ本体の同意を得ているか? ‑ 目的を説明し、その目的以外の使用をしていないか、必要以上の情報を取得していないか? ‑...

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第4回 データマッピングおよび処理者へGDPR対応状況の確認

Reading Time: 1 minutesこの記事の所要時間: 約 6分 第4回 データマッピングおよび処理者へGDPR対応状況の確認 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第3回は「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について説明しました。 第4回は「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 1. データマッピング ■「データマッピング」とは GDPRが示すデータマッピングとは平たく言えば、EEA域内の個人データ資産の棚卸と、その個人データ資産を扱う業務プロセスの現状把握です。ITの世界でデータマッピングというと異なるデータベース間で取り扱うデータの関連性を示すようなことを想像しますが、GDPRの世界では異なる意を持っています。 ■「データマッピング」の方法 いろいろ進め方はありますが、一般的なのはデータマッピングを調査するためのヒアリングシートを関係部署へ配布し、記入したものを回収します。配布時には記入サンプルなども添付することで対応の範囲や深さを示すことができ手戻りを少なくすることができます。また、配布するだけではく必要に応じて対象部署等への記入説明会やインタビューを実施する事も考慮します。 ■「データマッピング」の範囲 EEA域内の個人データを扱う国内外問わず全ての拠点・部署が対象です。 ■洗い出しの対象の情報(例) データマッピングにて洗い出しする情報の例として以下のようなものが挙げられます。 -個人情報保名前 -識別番号 -所在地データ -職業上のE-mailアドレス -オンライン識別子(IPアドレス/ クッキー識別子) -身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する要因 -クレジットカード詳細...

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

Reading Time: 1 minutesこの記事の所要時間: 約 9分 第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第2回 GDPRへ対応するための作業ステップと事前準備

Reading Time: 1 minutesこの記事の所要時間: 約 5分 第2回 GDPRへ対応するための作業ステップと事前準備 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第1回 GDPRの概要と日本における現状

Reading Time: 1 minutesこの記事の所要時間: 約 7分 第1回 GDPRの概要と日本における現状 ManageEngineが運営するブログへお越しいただきありがとうございます。

セキュリティ 1 min read

標的型攻撃のトレーサビリティ確保!JPCERT推奨「取得すべき5つのシステムログ」

Reading Time: 1 minutesこの記事の所要時間: 約 3分 今日、日本年金機構をはじめ、大手旅行会社、大手ガス会社国立大学や政府系機関など、高度標的型メール(APT)攻撃による情報流出報道が後を絶たない。 繰り返される事故報道や事故に関するセキュリティ専門家の見解からも、メールを開いた個人に責任を追求するべきでなく、サイバー攻撃については災害や国際紛争のように余儀なく被害を受けてしまう状況になっている。 災害などのリスク管理においては、「想定外」を無くすという考え方から、有事の際の事後対応に向けて、事前の対応チームや手順の確立、災害発生を想定した上での訓練などが一般的に行われている。いわゆるBCMとかBCPと言われる類の対策だ。 サイバー攻撃においてもこの考え方を当てはめるのであれば、CSIRTなどを設立して、サイバー攻撃を受けてしまった(もしくは受けてしまった可能性がある)際、どういったチームがどういった手順でどのような対応を行うのかについて、事前の対策を行う事になる。 多数の調査実績から、自組織で攻撃を検知できずに、第三者からの通知で攻撃を受けていることに気づくことになるケースが報告されているが、そうした際に、不正通信を正確に検知し、問題となるウィルスなどのプログラムを隔離、根絶することが最も優先される事項だ。 一方、情報流出の可能性が高いと想定される場合には、大組織であればあるほど、どんな情報がいつ、どのくらいの量外部に流出したのかなど、できる限り正確な説明責任を問われる、報道発表が求められる。 その説明責任を果たす上で重要な役割を来すのが、システムが出力するログだ。 大手旅行会社の事故報道では、「特定の通信経路で異常通信のログは取得していたが、正常な通信ログは取得していなかった」という内容であった、そのため、「個人情報を含むデータファイルが外部に送出された際の通信ログを確認できておらず、 漏えいした可能性」という表現に留めざるを得なかった。 上記のようなケースを教訓に、トレーサビリティを確保するためのログの保持について、皆さまの組織においても、改めて見直しを検討してみてはいかがだろうか。 参考になる情報として、 JPCERTから公開される研究・調査レポート 「高度サイバー攻撃への対処におけるログの活用と分析方法」がある。この資料によれば、高度標的型攻撃で取得が優先されるログは、以下の要素になるとのことだ。 ・ファイアウォール ・プロキシサーバー ・Active Directory ・DNSサーバー ・メールサーバー 出展元:「高度サイバー攻撃への対処におけるログの活用と分析方法」 https://www.jpcert.or.jp/research/apt-loganalysis.html 2016-10-19 JPCERTコーディネーションセンター...

一般 1 min read