news

GDPRについて、深く調べてみました④

GDPRについて、深く調べてみました④

皆様こんばんは、システムの細谷です。

 

本日もGDPRですよー

いい加減しつこいなと思われるかもしれませんが、今後の展望を考えるととてもクリティカルな内容です。

読めば読むほど「これ日本とかにも来るんじゃないかな?」と思えるほど参考になる部分が多いです。

 

さて、本日は「では実際にどういった対応を行えばいいか」で行きます。

「最新の特別なセキュリティが」という説明をされている方が読んでいると、「あれ、これ情シスに求められてる内容に一歩前へ出ればいいんじゃないかな?」というぐらいでした。

 

1.登録されている情報は暗号化すること

原文はこちら「the pseudonymisation and encryption of personal data;」

暗号化と書きましたが、万一にデータベース(以下:DB)にアクセスされた際にデータが直接見れない状態になっていれば大丈夫です。

例えば住所が「sa@2-sfa  :awl3:」と登録されていたらどうでしょう?盗んだ人にはわからないですよね?

 

このように「不正アクセスがあってデータが持ち出されたとしても、一目ではわからない状態」になっていれば問題ないよういことですね。(上記のを暗号化またはマスクするといいます。)

 

暗号化以外でも、同様の効果があるのであれば問題ありません

 

暗号化については雑談枠で説明いたしますのでここでは割愛いたします。

 

2.今のシステムを完璧に維持すること

原文の表現が「the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;」となっています。

翻訳文は「現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力。」となるのですが、

これだと分かりにくので、少し意訳すると

———————————

データの機密性を維持しつつ、

不具合やバグは無くしつつ、

システムが使える状態を保ち

問題があったときに復旧ができるように用意をしておくこと、

これらをちゃんと行えるように体制を整えろ。

———————————–

と言っているのだと思います

 

要するに「サービスは常に最新の状態にして、懸念点があればそれを解消できる体制を整えればいい」という事でサービスを提供する側としては普通な事ですね。

これを誤解して「最新鋭のソーシャルのセキュリティを入れないと」等焦っている人がいるようですが、そんな必要ありません。

過去のランサムウェアの件でも「古いバージョンのサービスを使っていたために感染した」というケースもあるので、「サービスに影響があるからアップデートできないのはダメだよ」ぐらいの認識で大丈夫です。

 

3.事故があったときに相応しい対応が取れるようにする

原文ですが「the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;」

要するに物理的・技術的問わずどのような状況でもすぐに復旧作業を行い、また個人情報の漏洩などが起きないか、起きていないかを確認する体制を整えるという事です。

 

4.取り扱いの安全性を担保するための技術や体制を審査し、評価する工程を用意する

こちらも誤解があると困るので原文を「a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing. 」

こちらも厳密なルールはありませんが、技術や体制に問題がないかどうかを確認しようという事です、

一番簡単なのは外部の監査を入れることができるよう状況を作ることですね、

そしてこの監査などを担当するのがDPOと呼ばれる人たちのようです。(監査はDPOだけではないですが、規定にある役職なので有利ではありそうです。)

 

5.簡単に個人情報にアクセスできない状況を作る

これは技術的より内部的なお話ですね、

データを受け取った管理者側は、意図されていない取り扱いが行われないように体制を整える必要があります。

たとえは個人情報にアクセスできる端末は特別なロックがされている部屋にあり、申請に許可が下りないと入れない。という感じですね

要するに「データルーム」を用意しましょうという事です。

 

 

以上です。

他にもいろいろとありますが、まず対応するべきはこの辺りでしょう。

また原文の表現は複雑ですが、

・サービスの管理保守はしっかりする。(脆弱性などはすぐに閉じる)

・万一漏れてももうワンステップ必要にする

・問題があったときには復旧と保護はすぐに行う(事故を隠さない)

・外部、または内部の監査を定期的に行い問題があればすぐに直す

・内部でも一部の人しか個人情報は扱えない

 

今のセキュリティと照らし合わせても、、そこまで複雑な事は求めていないように見えます。

大手の企業なら元々実行されているのではと思うレベルですね。(私も情シスの勉強の過程で上記の内容はよく見かけます。)

 

 

これを見て思ったことは「当たり前のことを当たり前にやってほしい」とGDPRを作った人は言っているのではないでしょうか?

出来ればいい、動けばいい、だけではなく作った後の事、使う人のことを考えて作成するという事です。

 

 

もしこれから開発を行うという方がいらっしゃるなら、上記の点を意識してみてはいかがでしょうか?

それでは失礼いたします。

 

(意気揚々と言っていますが、誤訳や誤解のある恐れがあることは添えておきます。)