リスクに適した個人データ保護のための技術的対応とは

リスクに適した個人データ保護のための技術的対応とは

「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第7回 - 個人データ保護に効果的なデータセキュリティとIDセキュリティについて、ENISAの指針を交えて解説する。

関連するコンテンツ

技術的・組織的な個人データ保護対策

GDPRは「第32条 Security of processing」の中で、「管理者および処理者は、個人データの保護レベルをリスクに見合ったものにするため、適切な技術的および組織的な対策を実施しなければならない」と記載しているものの、具体的にどのようなセキュリティ対策を実施しなければならないとは記載していない。そのため、ENISA(欧州ネットワーク・情報セキュリティ機関)から公表されているガイドラインを参考にするのが1つの方法である。

ENISAのガイドライン

ENISAのガイドラインには、アクセス制御・認証からネットワーク・通信セキュリティそして物理セキュリティまで10種類75個の技術的対策があり、個人データの処理プロセスのリスクに合わせて選択できるようになっている。世の中の技術的対策には、ネットワークセキュリティ、端末セキュリティ、サーバーセキュリティなど幾つもの種類があるが、ENISAのガイドラインの10種類の技術的対策は、例えば図の(1) - (10)に整理できる。

GDPRで問題となる個人データの大規模な侵害は、一般的に社内外のネットワークや端末から、サーバーやアプリケーションの脆弱性を突いたり、IDを不正利用したりして価値のある個人データを持ち出すことによって起こる。

各企業が実施すべき技術的対策は、それぞれの個人データの処理プロセスのリスクによって異なるが、データの大規模流出の手口から考えると、データそのものを守る「データセキュリティ」およびそのデータに誰をアクセスさせるかという「IDセキュリティ」の2つが、データに直接的で効果的なセキュリティ観点と言える。
データセキュリティには、データの伝送・処理・保管・削除といったライフサイクルを踏まえ、データそのものを安全な場所に保管すること、データ暗号化・匿名化、データの流出を検知・防止する仕組みの導入などが考えられるが、一般的に実現に期間や費用を要する。

個人データ利用に関する説明責任

IDセキュリティにおいても、例えば高度なアクセス制御の仕組みの導入には期間や費用を要する。
その中でもまず、個人データを保有するシステムにアクセス可能なIDを誰が保有し、データに対して何ができてしまうかという権限を整理し、不要なIDや権限を削除することは、新たなセキュリティツールや機器を導入することなく実施可能である。また適切なデータ利用の説明責任も果たしやすい対策であると考える。

個人データ保護に効果的なデータセキュリティとIDセキュリティ
個人データ保護に効果的なデータセキュリティとIDセキュリティ

執筆者

KPMGコンサルティング
ディレクター 万仲 隆之

日刊工業新聞 2018年11月7日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

ポストGDPR~グローバルプライバシーコンプライアンスの時代へ

© 2021 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. © 2021 KPMG Tax Corporation, a tax corporation incorporated under the Japanese CPTA Law and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.

お問合せ

 

ご依頼・ご相談

 

loading image RFP(提案書依頼)

Myページへ

会員登録すると、興味・関心のあるテーマのコンテンツが表示され、お気に入りの記事をライブラリに保存できます。

Sign up today