Reading Time: 2 minutes
この記事の所要時間: 約 7分

第6回 GDPRにおけるIT対策

「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

前回の第5回は「ギャップ分析と対応策の検討を行う」について説明しました。

今回、第6回はGDPR要件に対するギャップへの対応として大きな役割を果たす「GDPRにおけるIT対策」についてご説明します。

1. 個人データ取扱の保護

GDPR第32条 取扱いの保護 では個人データを組織的および技術的に適切に適切な対策を行うことが求められています。また、第33条では、個人データ保護違反時には72時間以内にデータ保護監督機関に通知することが義務付けられています。

■「取扱いの保護」において求められる「IT対策」

GDPR第32条 1項において「IT対策」として求められる事項として以下4つが挙げられています。
(a)  個人データの仮名化及び暗号化
(b)  現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力。
(c)  物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力
(d)  取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。

■個人データの仮名化及び暗号化

ここではGDPRにおける「仮名化」と「暗号化」そして「匿名化」について解説します。

・「仮名化」と「暗号化」
個人データが特定可能なメールアドレスや氏名などの情報について特定不可能な文字や英数字などに置き換える処理を施したものを指します。また、一定の処理を施すことで個人データに戻すことができる状態を指します。「仮名化」の一つの例として「暗号化」があります。

・「匿名化」
「仮名化」と比較される用語になりますが、仮名化は一定の処理を施すことで個人データに戻すことができる状態を指しますが、「匿名化」は特定不可能な処理を施したデータから個人データに戻すことができない状態であることを指します。統計データとされたものがその一例です。

GDPRの上では「匿名化」された情報は、個人データに該当せず、GDPRの適用対象外となります。

■「機密性」「完全性」「可用性」と復旧

情報セキュリティの基本的な考え方となっているCIAすなわち、「機密性」「完全性」「可用性」を保つことがGDPRの上でも求められています。また、「可用性」の一部にはなりますが、GDPRでは個人データを扱うシステム並びにサービスの復旧についても言及しています。

CIAについては、総務省が公開する情報を参考に見てみましょう。

・「機密性」
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。

・「完全性」
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。

・「可用性」
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。

出典:総務省 国民のための情報セキュリティサイト「情報セキュリティの概念」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/02.html

「機密性」の観点では基本的な対策として「ID管理」や「アクセス管理」
「完全性」の観点では、「ログ管理」や「改ざん検知」
「可用性」の観点では、データの「バックアップ」、システムの「冗長化」、予備機の設置
などがIT対策として重要と考えます。

■「技術的対策」「組織的対策」の定期点検および審査

前述のCIA「機密性」「完全性」「可用性」と復旧に関して、適切に安全が保たれているかを定期的に点検、審査、および評価することが要求されます。

これを満たすうえでの有効な対策として以下が挙げられます。
・セキュリティリスクアセスメント
・脆弱性診断
・バックアップリカバリテスト
・サイバー攻撃対策訓練
・BCP訓練

ニュートン・コンサルティング社では、BCP訓練をはじめサイバー対策訓練やセキュリティリスクアセスメント、脆弱性診断のサービスが提供されています。

BCP訓練・演習支援サービス
https://www.newton-consulting.co.jp/solution/bcm/exercise.html

サイバー攻撃対応演習・訓練サービス
https://www.newton-consulting.co.jp/solution/cyber/cyber_exercise.html

■Zohoが提供するGDPRに有効なIT対策ツール「ManageEngine」

弊社ゾーホーが提供するGDPRのIT対策を支援するIT運用管理・セキュリティ管理ソフトウェア「ManageEngine」ではGDPRの様々な事項について対策を支援します。提供している製品およびGDPRへの対応について記載しているページを以下に一覧しています。ご参考ください。

・Active DirectoryのID管/ADManager Plus
https://www.manageengine.com/products/ad-manager/gdpr-compliance-tool-for-active-directory.html

・Active Directoryのログ監査/ADAudit Plus
日本語ページ:
https://www.manageengine.jp/products/ADAudit_Plus/features-gdpr.html

英語ページ:
https://www.manageengine.com/products/active-directory-audit/gdpr-compliance-tool.html

・統合ログ管理/EventLog Analyzer

日本語ページ:
https://www.manageengine.jp/products/EventLog_Analyzer/gdpr-compliance-reports.html

英語ページ:
https://www.manageengine.com/products/eventlog/general-data-protection-regulation-gdpr-solution.html?feature

・ITヘルプデスク管理/ServiceDesk Plus
https://www.manageengine.com/products/service-desk/gdpr-service-desk-software.html

・特権ID管理/Password Manager Pro
https://www.manageengine.com/products/passwordmanagerpro/release-notes.html

・サーバーネットワーク統合監視/OpManager
https://www.manageengine.com/network-monitoring/opmanager-gdpr-compliance.html

・サーバーアプリケーション/Applications Manager
https://www.manageengine.com/products/applications_manager/appmanager-gdpr-compliance.html

・ネットワークトラフィック監視/NetFlow Analyzer
http://help.netflowanalyzer.com/distributed-monitoring/whats-new

・クラウド型サーバー監視/Site24x7
https://www.site24x7.com/gdpr.html

・ネットワークコンフィグ管理/Network Configuration Manager
https://www.manageengine.com/network-configuration-manager/release-notes.html

・ファイアウォールログ管理/Firewall Analyzer
https://www.manageengine.com/products/firewall/release-notes.html

最後に1つご案内させていただきます。

今後、GDPR対策を進める上で、対応を迫られている組織の担当者が1日で対応方針を決定したい。その場でコンサルタントに相談しながら不明点を解決し、自社に戻って実装を進めたいという場合には、以下ニュートン・コンサルティング社が提供するGDPR講座の参加をご検討ください。

ニュートン・コンサルティング GDPR講座
GDPRセミナー(EU 一般データ保護規則)ツール完全提供!
~完全準拠ツールをすべて提供&GDPRの概要と取組む際の勘所~
https://www.newton-consulting.co.jp/academy/curriculum/201804gdpr.html
場所:ニュートン・コンサルティング株式会社

「GDPR対策をDIYするブログ」第6回は「IT対策」について書きました。
次回GDPR対策をDIYするブログ第7回は、最終回として「ルール決定と文書化」についてご説明します。

■ZohoにおけるGDPRへの取組の紹介

弊社ゾーホージャパンはグローバル企業Zoho Corporation傘下の日本法人です。GDPR施行の前日2018年5月24日Zoho CorporationのCEOは次の動画による声明を行っています。

https://m.youtube.com/watch?v=IovXB__qQPQ

動画におけるZoho CorporationのCEO Sridhar Vembu による声明内容(和訳)

ご挨拶申し上げます。
ゾーホーは、一企業として、お客様のプライバシーを真剣に考えています。それに向け、我々はビジネスモデルを変更しました。お客様のプライバシーを侵害しないためにも、お客様の明確な許可なくお客様のデータを第三者に売却したり、開示したりすることは決して行いません。この点は今までの我々の対応と全く変わりありません。GDPRはお客様のプライバシーを守るための我々の取り組みをより強いものにさせました。
さらに、これを念頭に置いて、我々はGDPRレベルの運用をワールドワイドのお客様に向け拡大し適用しました。これはヨーロッパの規制ではありますが、GDPRに定められたGDPRレベルのプライバシー保護をワールドワイドのお客様に拡大する宣言をします。
この取り組みは、私たちのお客様のプライバシー保護のための取り組みなのです。
そう。プライバシーを選ぶなら、是非ゾーホーを。
ありがとうございます!

この弊社CEOの声明では、GDPRレベルのセキュリティポリシーをWWの顧客や拠点に対して適用するという宣言を行いました。

また、ZohoではGDPRに対してあらゆる取り組みを開始しております。

GDPR Readiness – Zoho
https://www.zoho.com/jp/lp/gdpr.html(日本)
https://www.zoho.com/lp/gdpr.html

当ブログを運営するIT運用管理セキュリティソフトウェアのManageEngineにおいてもGDPR対応を支援するソリューションを提供しております。
GDPRの要件とManageEngineの対応を示した情報などを以下ページにて公開しております。

GDPR対応ソリューション-準拠に向けたポイント- | ManageEngine
https://www.manageengine.jp/solutions/gdpr/lp/(日本)

GDPR Compliance – Solutions – Checklist – Software | ManageEngine
https://www.manageengine.com/gdpr/index.html

GDPRをDIYするブログ 連載目次
第1回 GDPRの概要と日本における現状
第2回 GDPRへ対応するための作業ステップと事前準備
第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成
第4回 データマッピングおよび処理者へGDPR対応状況の確認
第5回 ギャップ分析と対応策の検討を行う
第6回 GDPRにおけるIT対策(今回)
第7回 ルール決定と文書化(最終回)

Tags : GDPR