GDPR

【GDPR対策をDIYするブログ】第7回 ルール決定と文書化(最終回)

Reading Time: 2 minutesこの記事の所要時間: 約 7分 第7回 ルール決定と文書化(最終回) 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第6回は「GDPRにおけるIT対策」について説明しました。 今回、第7回は、これまで6回分に渡り検討してきたGDPR対策の内容を規定とし文書にする「ルール決定と文書化」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 ニュートン・コンサルティング社が開催するGDPR講座で解説される「~GDPR完全対応講座~ワークショップ解説資料(ワークショップ①~⑩抜粋)」、GDPR運用マニュアル(全文)、GDPRインシデント対応マニュアル(目次)のを文末にてダウンロードいただけます。 1.十分性認定 2019年1月23日に欧州連合は、EU一般データ保護規則(GDPR)の日本に対する十分性認定を付で決定した。 この決定以前は、・BCR(Binding Corporate Rules:拘束的企業準則)の締結 (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認) ・SCC(Standard Contractual Clauses:標準契約条項)の締結 (データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)Model contracts for the transfer of personal data...

セキュリティ , 一般 , 未分類 2 min read

【GDPR対策をDIYするブログ】第6回 GDPRにおけるIT対策

Reading Time: 2 minutesこの記事の所要時間: 約 7分 第6回 GDPRにおけるIT対策 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第5回は「ギャップ分析と対応策の検討を行う」について説明しました。 今回、第6回はGDPR要件に対するギャップへの対応として大きな役割を果たす「GDPRにおけるIT対策」についてご説明します。 1. 個人データ取扱の保護 GDPR第32条 取扱いの保護 では個人データを組織的および技術的に適切に適切な対策を行うことが求められています。また、第33条では、個人データ保護違反時には72時間以内にデータ保護監督機関に通知することが義務付けられています。 ■「取扱いの保護」において求められる「IT対策」 GDPR第32条 1項において「IT対策」として求められる事項として以下4つが挙げられています。 (a)  個人データの仮名化及び暗号化 (b)  現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力。 (c)  物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力 (d)  取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。 ■個人データの仮名化及び暗号化 ここではGDPRにおける「仮名化」と「暗号化」そして「匿名化」について解説します。 ・「仮名化」と「暗号化」 個人データが特定可能なメールアドレスや氏名などの情報について特定不可能な文字や英数字などに置き換える処理を施したものを指します。また、一定の処理を施すことで個人データに戻すことができる状態を指します。「仮名化」の一つの例として「暗号化」があります。...

セキュリティ 2 min read

【GDPR対策をDIYするブログ】第5回 ギャップ分析と対応策の検討を行う

Reading Time: 1 minutesこの記事の所要時間: 約 7分 第5回 ギャップ分析と対応策の検討を行う 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第4回は「データマッピングおよび処理者へGDPR対応状況の確認」について説明しました。 第5回は「ギャップ分析と対応策の検討を行う」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 1. ギャップ分析 ■「ギャップ分析」の目的 前回データマッピングの結果や処理者へのアンケート調査などの結果から、GDPRに準拠するために対応が不足している箇所を特定し、対策を検討する材料とする。 ■「ギャップ分析」の方法 ギャップ分析の方法は以下のようなものがあります。 ・データマッピングの結果を基にGDPRの要求事項とのギャップを特定する。 ・処理者調査票の結果からギャップを特定する。 ・ITシステムに特化したセキュリティ対応状況を確認する。 ・GPDRの要求事項と照らし合わせて対応有無を確認する。 ■「ギャップ分析」にて主に確認すべき事項 EEA域内の個人データを扱う対象データに関して、データマッピングの結果において、例えば、潜在顧客を集めるためのメールマガジンを対象にした場合に、以下のような事項についてそれぞれ、対応が十分なのか、不十分なのか、対応を予定しているのか(それが実施される時期はいつか)などについて確認を進めていきます。集めるデータによって、オペレーションやプロセスが変わる場合にはデータ毎に確認を進める必要があります。 ・個人データの取得取扱い ‑ 個人データはあらかじめ利用目的を説明し、書面等、記録が残る形でデータ本体の同意を得ているか? ‑ 目的を説明し、その目的以外の使用をしていないか、必要以上の情報を取得していないか? ‑...

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第4回 データマッピングおよび処理者へGDPR対応状況の確認

Reading Time: 1 minutesこの記事の所要時間: 約 6分 第4回 データマッピングおよび処理者へGDPR対応状況の確認 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。 前回の第3回は「DPOの設置、プライバシーポリシー・Cookieポリシーの作成」について説明しました。 第4回は「データマッピングおよび処理者へGDPR対応状況の確認」についてご説明します。今回もニュートン・コンサルティングが開催するGDPR講座(以下GDPR講座)で解説される内容を参考に説明していきます。 1. データマッピング ■「データマッピング」とは GDPRが示すデータマッピングとは平たく言えば、EEA域内の個人データ資産の棚卸と、その個人データ資産を扱う業務プロセスの現状把握です。ITの世界でデータマッピングというと異なるデータベース間で取り扱うデータの関連性を示すようなことを想像しますが、GDPRの世界では異なる意を持っています。 ■「データマッピング」の方法 いろいろ進め方はありますが、一般的なのはデータマッピングを調査するためのヒアリングシートを関係部署へ配布し、記入したものを回収します。配布時には記入サンプルなども添付することで対応の範囲や深さを示すことができ手戻りを少なくすることができます。また、配布するだけではく必要に応じて対象部署等への記入説明会やインタビューを実施する事も考慮します。 ■「データマッピング」の範囲 EEA域内の個人データを扱う国内外問わず全ての拠点・部署が対象です。 ■洗い出しの対象の情報(例) データマッピングにて洗い出しする情報の例として以下のようなものが挙げられます。 -個人情報保名前 -識別番号 -所在地データ -職業上のE-mailアドレス -オンライン識別子(IPアドレス/ クッキー識別子) -身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する要因 -クレジットカード詳細...

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成

Reading Time: 1 minutesこの記事の所要時間: 約 9分 第3回 DPOの設置、プライバシーポリシー・Cookieポリシーの作成 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

セキュリティ 1 min read

UberのセキュリティインシデントからみるGDPR準拠へのポイント

Reading Time: 1 minutesこの記事の所要時間: 約 2分 年々利用者を増やしており、特に海外では多くの人に親しまれているUberですが、昨年、その人気が危ぶまれる出来事が発生しました。 Uberは、欧州連合(EU)の中でその成長率を維持するために、広報、法的課題、マーケティング活動に多くのリソースを費やしてきました。そのような活動の中、2017年11月掲載のUberのブログにて、2016年10月ごろに受けたサイバー攻撃を公開せず、隠ぺいしていたことが明らかとなりました。同社はブログにて、昨年10月に5000万人のユーザー情報と700万人のドライバーの名前、メールアドレス、電話番号、運転免許証の番号が流出し、漏洩した情報に対する一切の黙秘を条件に、ハッカーへ10万ドルを支払っていたことを報告しました。もともとこのようなセキュリティ違反は重大なインシデントとなりますが、EUの一般データ保護規則(GDPR)が施行された今、Uberにとっては、EUで再び信頼を得るための大きな障壁となり得ます。 ● どのようにして攻撃が発生したのか? Uberのエンジニアは、開発のためにGitHubコーディングサイトを使用していましたが、ハッカーはそのサイトの抜け穴を利用してログイン情報を取得後、個人データを抜き出しました。Uberは、すでに今後の攻撃を阻止するための対策を講じていると主張していますが、今回ポイントとなるのは、セキュリティ違反を直ちに公表しなかったという点です。実際、問題が発生したタイミングでは違反を報告する義務はありませんでしたが、GDPRが施行された今、欧州で同様のことが発生した際には、企業にとって深刻な事態となります。 ● GDPR施行後に問題が発生した場合はどうなるのか? 今回の問題では、EU市民の個人データが多数漏洩してしまいましたが、GDPRは、このような問題に対して重いペナルティを課しています。例えば、制裁金として、最大2000万ユーロ(約26億円)、あるいは年間売り上げの4%のいずれかのうち、高額な方を支払う必要があります。また、違反があったことを直ちに公表しなかったという事実は、EU市民の信頼を大きく損なうことにつながるでしょう。 ● GDPRを遵守するために必要なこと 今回のセキュリティ違反を踏まえて、2018年5月25日に施行されたGDPRを遵守するために求められることを、以下に挙げていきたいと思います。 セキュリティ違反が発生した際には、速やかに検知し、被害を最小限に留めるための措置をとること。また、発生72時間以内に、監督機関へ報告をおこなうこと。いずれかを怠った場合、GDPRの違反につながります。 データが保管されている場所(物理、仮想、クラウドなどに関わらず)に対して、企業は不正なアクセスからデータを保護し、安全性を継続的に検証するためのセキュリティ対策を講ずること。 カスタムアプリケーションやサービスを使用している場合は、同様に監査対象とすること。企業はセキュリティの穴を防ぐため、これらのアプリケーションやサービスで起こっている活動を監査し、記録する必要があります。 ● GDPRへの準拠にManageEngineはどのように貢献できるのか? ManageEngineでは、GDPRに準拠するためのツールとして、以下を提供しています。   関連情報をCheck! >> GDPR対応ソリューション

ADAudit Plus , Desktop Central , EventLog Analyzer 1 min read

【GDPR対策をDIYするブログ】第2回 GDPRへ対応するための作業ステップと事前準備

Reading Time: 1 minutesこの記事の所要時間: 約 5分 第2回 GDPRへ対応するための作業ステップと事前準備 「GDPR対策をDIYするブログ」へお越しいただきありがとうございます。

セキュリティ 1 min read

【GDPR対策をDIYするブログ】第1回 GDPRの概要と日本における現状

Reading Time: 1 minutesこの記事の所要時間: 約 7分 第1回 GDPRの概要と日本における現状 ManageEngineが運営するブログへお越しいただきありがとうございます。

セキュリティ 1 min read