GDPR とサイバーセキュリティ:データ保護機能の実際の動作

データ保護とサイバーセキュリティを象徴しているホログラフのセキュリティロックとシールドが付いているタブレットを使用している女性

GDPR 第 32 条:処理のセキュリティに関する説明

第 32 条は、GDPR で中核となるサイバーセキュリティ要件です。第 32 条では、組織に対しリスクに応じた適切なレベルのセキュリティを確保するために、「技術的/組織的対策」を実施することを求めています。

第 32 条の目的は、セキュリティに対するリスクベースの対策を確立することです。固定された一連の対策を規定するのではなく、組織に対して処理するデータの機密性、業務範囲、および情報漏洩が個人に及ぼす潜在的な影響を評価するよう求めています。この評価後、セキュリティ対策は、そのリスクに応じて設計され維持される必要があります。

これは、GDPR が固定されたコンプライアンスのチェックリストを提供しているわけではないことを意味しています。機密性の高い患者情報を扱う大規模な医療機関は、基本的な連絡先情報を扱う小規模な組織よりも、厳格な管理体制を確立することが求められ、データの性質と、情報漏洩が発生した場合の影響の大きさの両方を考慮する必要があります。

「適切な技術的/組織的対策」とは

「適切な」対策とは、具体的には、暗号化、多要素認証、アクセス管理、バックアップとリカバリ、脆弱性管理、セキュリティ監視、インシデント対応、障害復旧計画、従業員への意識向上トレーニングなど、技術的な制御と組織的なプロセスを組み合わせた対策が含まれ、組織固有のリスクプロファイルを反映した方法で実施されます。

これは、GDPR が一回限りのコンプライアンス対応から継続的に説明責任を果たすよう求める大きな変化を反映しており、組織はセキュリティ対策が存在するだけでなく、それらの対策が常に維持され改善されていることを示す必要があります。とはいえ、重要なことは、単に管理体制を整えるだけでなく、その体制が効果的で適切であり、一貫して適用されていることを実証できることです。

組織は、リスク評価を行い、決定内容を文書化し、進化する脅威に対応するために、定期的に管理体制を見直すことが求められます。サイバーセキュリティの要件は画一的なものではなく、数年前には十分だと考えられていた対策も、規制当局が一回限りのコンプライアンス対応ではなく、継続的な改善と説明責任の必要性をさらに重視することで、現在の規制上の要件に対応できなくなる可能性があります。

機密性、完全性、可用性

GDPR のセキュリティに関する義務は、機密性、完全性、可用性という 3 つの基本原則に基づいて構築されています。また、これらは、具体的な個人データの保護方法を定義します。

機密性は、個人データが承認された個人しかアクセスできないようにします。通常、組織はこれを多要素認証、ロールベースのアクセス制御、暗号化、ネットワークセグメンテーションなどの対策を講じ、それらを最小権限アクセスや安全な設定を実施しサポートすることで実現します。

完全性は、不正な改ざんや破損からデータを保護することを重視しています。多くの場合、これには監査ログの記録、管理プロセスの変更、ファイルの完全性の監視に加え、データの誤った変更を防止するための制御機能が含まれます。

可用性は、データやシステムが必要に応じていつでもアクセスできる状態にします。これには、レジリエントなインフラストラクチャ、バックアップ戦略、災害復旧計画、効果的な災害復旧プロセスが必要です。

3 つの要素のうち、可用性は過小評価される傾向があります。GDPR では、ランサムウェア攻撃によって個人データが利用できなくなった場合、データが盗まれていなくても、可用性の喪失だけでも第 4 条 (12) に規定されている侵害を構成する可能性があるため、報告対象となる個人データ侵害に該当する恐れがあります。

暗号化、匿名化、データ保護

暗号化は、不正アクセスのリスクを最も効果的に低減する方法の 1 つのため、第 32 条では具体的に言及されています。ネットワーク上を移動するデータは、最新の暗号化プロトコルを使用して保護する必要があります。一方、コンピュータ、ノートパソコン、リムーバブルドライブ、サーバー、バックアップ、クラウド環境に保存されているデータも、堅牢なソリューション (ハードウェア暗号化デバイス) で暗号化して、保護を実効性のあるものにする必要があります。

これは、デバイスの紛失や盗難がデータ漏洩の主な原因になっているリモートワーカーやモバイルワーカーにとって特に重要です。組織がハイブリッド環境やクラウド環境で業務を行うことが増えているため、GDPR に準拠するには、リモートエンドポイント、コラボレーションプラットフォーム、クラウドストレージ環境、サードパーティ製SaaSアプリケーションのセキュリティを確保し、セキュアな社内ネットワークの外部でのデータ処理に伴うリスクを軽減するために、ハードウェア暗号化の使用も必要になります。

ハードウェア暗号化ストレージデバイスは、企業のネットワーク境界外で使用される機密データに追加的な保護を提供することができます。特に、デバイスの物理的なセキュリティが依然として重大なリスク要因となるリモートワーカー、現場の作業チーム、分散環境で規制情報を扱う組織にとって有効です。

しかし、暗号化だけでは十分ではありません。GDPR に準拠するには多層的なセキュリティの実装が不可欠です。組織は、進化する脅威に対して常に効果的なセキュリティ対策を有効にするために、強力なアクセス管理、監視、インシデント対応能力、スタッフのトレーニング、および継続的なテストプロセスが必要です。

仮名化は、重要な技術の 1 つです。仮名化では、識別情報を置き換えたり、削除したり、変換したりすることで、追加情報がなければ個人データを特定の個人と結びつけることができないようにできます。追加情報は個別に保管され、適切な技術的/組織的対策により保護されています。

テスト、監視、継続的な評価

第 32 条では、組織に対して、セキュリティ対策を定期的にテストおよび評価し、データの収集、保護、保存方法を検証するよう義務付けています。これには、具体的には脆弱性スキャン、侵入テスト、継続的な監視、セキュリティ監査、インシデント対応トレーニング、バックアップ復元テストなどが含まれ、これらはすべて、セキュリティ対策が長期間にわたり有効であることを検証することを目的としています。

この検証は重要です。組織はインシデントを検知できなければ、それらを報告したり封じ込めたりすることができないからです。効果的な監視と可視化は、疑わしいアクティビティを早期に特定するために不可欠です。これにより、業務の中断を最小限に抑え、規制上の報告義務 (特に迅速なデータ侵害の報告などの通知が求められる場合) を支援することができます。

現在、多くの組織が GDPR プログラムを ISO/IEC 27001ISO/IEC 27701、NIST サイバーセキュリティフレームワーク、またはサイバーエッセンシャルズなどの一般的に認識されたフレームワークと整合させています。これらのフレームワークにより、組織が構造化された再現可能なセキュリティガバナンスプロセスを構築することができますが、組織固有の GDPR リスクプロファイルに応じて調整する必要があります。

GDPR がサイバーセキュリティ戦略に与える影響

GDPR は、組織がサイバーセキュリティに取り組む方法を根本的に変えました。その最も大きな変化の 1 つが説明責任です。組織は、単にコンプライアンスに準拠していることを報告するだけではなく、それを実証できなければならなくなりました。これには、リスク評価、セキュリティ文書、処理記録、インシデント対応手順、サプライヤー監視プロセスを維持することが含まれています。また、セキュリティに関する意思決定がどのように行われ、どのように評価されているかを明確に示す証拠を提示できるようにしておく必要があります。

また、GDPR は、リスクベースのセキュリティの重要性を強調します。セキュリティへの投資は、組織が直面する脅威、脆弱性、および処理するデータの機密性を反映している必要があり、その対策が特定されたリスクに見合った適切なものである必要があります。

サードパーティのリスク管理も同様に重要になっています。サプライヤーやサービスプロバイダが組織の代わりに個人データを処理する場合でも、適切な保護を確保する責任は組織にあります。これにより、サプライヤーのデューデリジェンスや契約上の監督は、現在では多くの GDPR コンプライアンスプログラムの中心的な要素となっており、データの処理者の業務内容やセキュリティ体制を継続的に監視することも含まれています。

上記の内容はお役に立ちましたか?

ヘルプが必要ですか?

関連記事