丸分かり「GDPR対策」 “制裁金2000万ユーロ”回避に役立つIT面での対策とは？：今からでも間に合う「GDPR」対策【第3回】（1/2 ページ）

「GDPR」順守のための態勢作りを確実かつ効率的に進めるには、セキュリティ製品をはじめとするシステムの導入が有効です。GDPR対策に役立つ製品分野を紹介します。

[持田広志，デロイト トーマツ サイバーセキュリティ先端研究所]

GDPR対策に有効なセキュリティ製品分野とは

　第2回「『GDPR』条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは？」では、欧州連合（EU）の一般データ保護規則、いわゆる「GDPR」（General Data Protection Regulation、以下GDPR）で制裁金を課されないために必要な対策を解説しました。特にシステム面で対処すべきこととして紹介したのが、以下の2点です。

• プライバシー保護（個人の権利の保護）に関する要件を順守するためのシステム対応
• セキュリティリスク低減のためのシステム対応

　1つ目の「プライバシー保護に関する要件を順守するためのシステム対応」については、EUの現行法である「データ保護指令」（EU Directive 95/46/EC）に基づいて作られた「第29条作業部会」（Article 29 Working Party）という組織が、さまざまなガイドラインを作成しています（本稿執筆時点ではドラフト版だったり、未公表だったりするガイドラインもあります）。

　企業はこれらのガイドラインを参考に要件順守の仕組みを検討し、個人データを収集／活用する自社サービスに落とし込んで、システムとして実装する方法を検討することになります。例えば自社サービスの一般ユーザーに対して、個人データを取得する際の通知方法や同意取得の画面構成、システム制御の方法などを検討します。

　2つ目の「セキュリティリスク低減のためのシステム対応」を検討する際は、フランスのデータ保護機関である情報処理・自由全国委員会（CNIL）のガイドライン「SECURITY OF PERSONAL DATA」が参考になります。連載第2回でも紹介したこのガイドラインは、EU現行法のデータ保護指令に基づくものですが、GDPR対策でも参考になります（注）。

※注：CNILは2018年1月、このガイドラインの改訂版として、GDPRに基づく同種のガイドライン（フランス語版）を公開しました。一部項目の名称変更や「Webサイトのセキュリティ」をはじめとする項目追加がありますが、中心的な要素は共通しています。

　前回も紹介した通り、このガイドラインは要件順守状況の判断に役立つ、アセスメント用のチェックリストを掲載しています。以下にその項目を示します（日本語訳は著者による）。

1. リスク管理（Managing risks）
2. ユーザー認証（Authenticating users）
3. 認証の管理と意識の向上（Authorisation management and awareness-raising）
4. 端末のセキュリティ（Securing workstations）
5. モバイル機器や可搬媒体でのデータ処理のセキュリティ（Securing mobile data processing）
6. バックアップと事業継続管理（Backup and business continuity management）
7. 監視（Supervising maintenance）
8. 証跡とインシデントの管理（Tracing accesses and managing incidents）
9. 施設のセキュリティ（Securing the premises）
10. LANのセキュリティ（Securing the internal IT network）
11. サーバとアプリケーションのセキュリティ（Securing servers and applications）
12. 委託先管理（Managing subcontractors）
13. 保管（Archiving）
14. 他組織とのデータ授受のセキュリティ（Securing exchanges with other organisations）

　ここからは上記の各項目に関して、有用だと考えられるシステム面での対策を検討します。本稿で説明する対策は、各種ガイドラインを基に検討し得る一般的な対策であり、GDPR順守のために全ての対策の導入が必須となるわけではないことに注意してください。各企業では、それぞれのオフィスや従業員、システムの状況などを考慮して、必要な対策を検討することになります。

併せて読みたいお薦め記事

今からでも間に合う「GDPR」対策

• いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？
• 一般データ保護規則（GDPR）の主な要件を満たすために、どこから手を付ければいい？

「GDPR」についてもっと詳しく

• 5分で分かる「GDPR」（EU一般データ保護規則）の基本
• GDPR対策にデータ追跡と暗号化が必須な理由
• GDPR（一般データ保護規則）に「エンドポイント管理製品」が役立つ点、不十分な点

1．リスク管理（Managing risks）

　脅威が顕在化したときの影響の大きさを示す「リスク」を管理するには、以下の取り組みが重要です。

• 個人データとその処理に関するインベントリー（一覧表）の作成
• プライバシーに関する脅威やリスクの評価
• リスクをコントロールするためのセキュリティ対策

　インベントリーについては、国内企業では一般的に「個人情報管理台帳」の形で個人データを管理しているので、その延長線上のものとして捉えることができます。GDPR対策として新たにインベントリーを作成するよりも、現状の個人情報管理台帳に必要な事項を追加する方が現実的です。

　脅威やリスクの評価に関しては、「プライバシーマーク」（Pマーク）や「情報セキュリティマネジメントシステム」（ISMS）といったセキュリティ認証制度で求められるリスクアセスメントと同様の形で実施します。

2．ユーザー認証（Authenticating users）

　ユーザー認証では、なりすましや不正ログインを防ぐために、以下のような対策が有効です。