リスクに適した個人データ保護のための技術的対応とは

GDPRは「第32条 Security of processing」の中で、「管理者および処理者は、個人データの保護レベルをリスクに見合ったものにするため、適切な技術的および組織的な対策を実施しなければならない」と記載しているものの、具体的にどのようなセキュリティ対策を実施しなければならないとは記載していない。そのため、ENISA（欧州ネットワーク・情報セキュリティ機関）から公表されているガイドラインを参考にするのが1つの方法である。

ENISAのガイドラインには、アクセス制御・認証からネットワーク・通信セキュリティそして物理セキュリティまで10種類75個の技術的対策があり、個人データの処理プロセスのリスクに合わせて選択できるようになっている。世の中の技術的対策には、ネットワークセキュリティ、端末セキュリティ、サーバーセキュリティなど幾つもの種類があるが、ENISAのガイドラインの10種類の技術的対策は、例えば図の（1） - （10）に整理できる。

GDPRで問題となる個人データの大規模な侵害は、一般的に社内外のネットワークや端末から、サーバーやアプリケーションの脆弱性を突いたり、IDを不正利用したりして価値のある個人データを持ち出すことによって起こる。

各企業が実施すべき技術的対策は、それぞれの個人データの処理プロセスのリスクによって異なるが、データの大規模流出の手口から考えると、データそのものを守る「データセキュリティ」およびそのデータに誰をアクセスさせるかという「IDセキュリティ」の2つが、データに直接的で効果的なセキュリティ観点と言える。
データセキュリティには、データの伝送・処理・保管・削除といったライフサイクルを踏まえ、データそのものを安全な場所に保管すること、データ暗号化・匿名化、データの流出を検知・防止する仕組みの導入などが考えられるが、一般的に実現に期間や費用を要する。

IDセキュリティにおいても、例えば高度なアクセス制御の仕組みの導入には期間や費用を要する。
その中でもまず、個人データを保有するシステムにアクセス可能なIDを誰が保有し、データに対して何ができてしまうかという権限を整理し、不要なIDや権限を削除することは、新たなセキュリティツールや機器を導入することなく実施可能である。また適切なデータ利用の説明責任も果たしやすい対策であると考える。

KPMGコンサルティング
ディレクター　万仲 隆之

日刊工業新聞　2018年11月7日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。