本シリーズの第39回および第40回ではGDPRに定める処理のセキュリティ, 並びに, そのセキュリティが破られ個人データ侵害が生じた場合の報告・通知および委託先の管理に関し, GDPRの関係条文を中心に解説しました。
今回は, それらの事項に関し, 企業は具体的に何をどのようにすればよいのか, セキュリティに関連する実務対応について解説します。
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: GDPR 上のセキュリティと情報セキュリティの関係は? |
Q1: GDPR 上のセキュリティと情報セキュリティの関係は?
A1:いわゆる「情報セキュリティ」はGDPR上のセキュリティ全部ではありませんが, その重要な一部です。【解 説】
GDPR上の「個人データのセキュリティ」("Security of personal data"- Section 2のタイトル)または「処理のセキュリティ("Security of processing")(GDPR第32条のタイトル)は, 「データ主体の権利と自由」にとってのリスクに対し講じられるべき安全措置(safeguards/measures to safeguard)という広い意味(例えば, 個人データのEU域外への移転に関するSCC等の適切な保護措置(46)を含む)を有します(第39回Q1参照)。 一方、「情報セキュリティ」は、第三者によるコンピュータへの侵入, 攻撃や, データの流出, 改ざん等の不正利用を阻止し, コンピュータの秘密性や安全性を保持することを意味します。 しかし, 個人データは主にコンピュータ上で処理されるので, 「情報セキュリティ」はGDPR上のセキュリティ全部ではありませんが, その重要な一部です。 この情報セキュリティを含むGDPR上のセキュリティに関しては, 脚注[1]の英国監督機関ICOのサイトの以下の事項に関する解説が参考になります(本稿でも参考にした)。Q2: GDPRのリスクベースアプローチとは?
A2:リスクの現実化の可能性が高いかまたは現実化した場合に重大な影響が生じる問題に優先的に対応することです。【解 説】
GDPRにおいては, 様々な規定で, データ主体の権利自由に対するリスクを基準とした考え方(Risk-based approach)が取り入れられています。例えば, 管理者はリスクの現実化の可能性および重大性の程度を考慮したデータ保護措置(25(1))およびセキュリティ措置(32)を講じなければならないとされています。また, 個人データ侵害が生じた場合は, リスクの有無または重大性により監督機関またはデータ主体に対する通知(33)や監督機関との事前協議(36)の要否が定まります。[2] このリスクベースアプローチの考え方は, GDPRのコンプライアンス実務にも当てはまります。すなわち, 企業グループや処理の規模・多様性・複雑性によっては, GDPR対応を全ての処理について完全に行おうとすれば多大なリソース(時間を含む)を要する可能性があります。しかし, このリソースには限りがあるので, リスクの現実化の可能性が高いかまたは現実化した場合に重大な影響が生じる問題に優先的に対応することが企業にとってもデータ主体保護の観点からも肝要です。 GDPR上, リスクベースアプローチの観点から優先的にセキュリティ措置に取り組むべき個人データまたはその処理としては, 次のようなものを挙げることができるでしょう。① 消費者の個人データ
② 特別カテゴリーの個人データ
③ 有罪判決・犯罪に関する個人データ
④ 子供の個人データの処理
⑤ 個人(従業員を含む)の監視(monitoring)
⑥ 自動意思決定・プロファイリング
⑦ 個人データのEU域外への移転
上記の②以下は, GDPRで特別な規定が置かれているものあるいはガイドラインで特に重要視されているものです。 後の回で解説しますが, GDPR上, 管理者は, 一般に高リスクと考えられる所定の処理に関し, 事前に、その処理が個人データ保護に対し与える影響を評価すること(データ保護影響評価)(DPIA)を義務付けてられています(35(1))。上記①~⑦のリスクは, このDPIAの手法を用い評価することが適切でしょう。Q3: “Data protection by design and by default”とは?
A3:設計段階からのかつ標準設定でのデータ保護という意味です。【解 説】
GDPRでは, 次の通り, 設計段階からのかつ標準設定でのデータ保護が義務付けられています。従って, セキュリティ対策もこれに従って講じなければなりません。特に, 個人データを処理する機能がある機器, 装置, アプリケーションソフトウェア, サービス等を販売・提供する企業は, 当該機器等の設計から始まりライフサイクル全般にわたりセキュリティを確保しなければなりません。【GDPR上の「企画・設計段階からの個人データ保護」に関する規定・記述】
(GDPR 25(1)) 管理者は, 技術水準/コスト/処理の内容・範囲・状況(context)・目的/処理リスクの可能性・重大性の程度を踏まえ, (i) 処理方法決定段階および (ii) 処理実施段階の双方で, 適切な技術的・組織的措置(仮名化等)を講じ, (a) データ保護の原則(データ最小化等)および(b) データ保護措置(safeguards)を組み込まなければならない。 (前文78) 特に, 個人データの処理を伴うアプリケーション, サービスまたは製品を開発, 設計, 採用または利用する場合, 開発者は, 開発・設計段階からデータ保護の原則およびデータ保護措置を組込まなければならない。【GDPR上の「標準設定での個人データ保護」に関する規定・記述】
(GDPR 25(2)) 管理者は, 特定・具体的な処理目的に必要[最小限]な個人データのみが処理されるよう, 取得データ量, 処理範囲, 保存期間およびアクセス(特に, データ主体の関与なく不特定人からアクセスされないこと)について, 標準設定で(by default), 適切な技術的および組織的な措置を講じなければならない。Q4技術水準, 秘密性・完全性・可用性とは?
A4: 以下の通りです。【解 説】
GDPR第32条第1項・第2項では, 管理者および処理者は, リスクに応じ, 技術水準等を考慮し, 以下を含め, 適切な技術的・組織的措置を講じなければならないと規定されています。 ① 仮名化および暗号化 ② 秘密性(confidentiality), 完全性(integrity), 可用性(availability)および復旧能力(resilience)の継続確保 ③ 事故発生時における適時の可用性・アクセス回復 ④ リスクを考慮したセキュリティの適切性の定期的テスト・評価。【「技術水準」(the state of the art)の考慮】
業界の平均的慣行だけでなく業界におけるベストプラクティスを含め, 世の中(特にEU域内)におけるセキュリティ技術の動向をウォッチしこれを基準にセキュリティを講じまたは改善する必要があります。【秘密性/完全性/可用性/復旧能力】
これらについて, GDPR自体に直接的な定義はありませんが, 一般的には, 以下のように説明されており, GDPRに関してもこの説明が当てはまります。そして, これら秘密性等に対して, 一般的には, 以下の【対策例】のような措置が推奨されまたは必要とされています。 (1) 秘密性 (Confidentiality) 許可された者だけがデータにアクセスできるよう, 外部からの攻撃および組織内の不正アクセスを防止することを意味します。 【外部からの攻撃の例】 ・コンピュータウィルス ・マルウェア(malware): 他人のコンピュータを不正に動作させる意図で作成された悪意のあるソフトウェアやコード。 (例) ランサムウェア: データを勝手に暗号化することにより使用不能にして身代金要求メッセージを表示するソフト ・ハッキング ・DoS攻撃: 他人のコンピュータを乗っ取り遠隔操作することにより大量のパソコンから公開サイト等にアクセスし正常な運用を妨害。 【対策例】 ・ネットワークファイアウォール ・アプリケーションファイアウォール ・データ暗号化 ・ID・パスワード, 二段階認証(IDとパスワードに加えセキュリティコードで認証)等による本人確認 ・アクセスポリシーの設定・適用その他アクセス管理 ・機密データの検出・分類, 機密データへのアクセス設定, 機密データの保存場所設定 ・機密ファイルのダウンロード・印刷・コピー禁止, アクセス期限設定等 ・セキュリティパッチまたはソフトウェアアップデートの適時適用・実施 ・システム, データ等へのアクセスログの自動記録と監視 ・脆弱性(セキュリティ上の欠陥)発見・評価のための脆弱性検査ツールの利用(vulnerability scanning), 侵入テスト(penetration testing) ・内部または外部セキュリティ監査 【仮名化】 なお, GDPRおよびそのガイドラインで繰返し言及されている「仮名化」(pseudonymisation)については, GDPRにはその具体的方法の説明はありません。 しかし, GDPR上の仮名化された個人データと日本の個人情報保護法上の匿名加工情報は実質的に同じものなので, 日本の個人情報保護委員会が公表した「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成29年3月一部改正)で示されている加工方法が参考になります。 (2) 完全性 (Integrity) 外部からの攻撃, 装置の障害, ソフトウェアのバグ等によりデータが改ざんされることがないことを意味します。 【対策例】 秘密性についての対策と同様。 (3) 可用性 (Availability) データやシステムに利用者が必要な時にアクセスし利用できることを意味します。 【対策例】 ・システムの耐障害性・信頼性向上 ・データの自動バックアップ ・システム障害に備えるための予備システムの配備(Redundancy:冗長性) (4) 復旧能力 (Resilience) 可用性の一要素とされることも多いと言われます。外部からの攻撃, 人為的ミス, 自然災害等の障害からデータやシステムを防御し, かつ, これらを障害発生前の状態に復旧する能力を意味します。 【対策例】 ・システムの障害発生時の予備システムへの瞬時切替 ・マルウェア, ハッキングその他の脅威の自動検知Q5社員に対する監督の実務的対応は?
A5: 秘密保持誓約書等の取付け, 教育・研修, アクセス管理等を行わなければなりません。【解 説】
管理者等は, 「個人データにアクセスする全ての者」, 従って, 自社社員は勿論, フリーランス等他の契約形態の者, 処理委託先(処理者)等が, 管理者等の指示に従い処理し当該指示以外で処理しないよう必要な措置を講じなければなりません(32(4))。 従って, 自社社員等については個人データを含む秘密保持誓約書等の取付け, 教育・研修, 個人データへのアクセス管理, 個人データの処理に関する社内規程(policy) (違反時の懲戒規定を含む)の制定等の対策が必要です。Q6 処理委託先に関するセキュリティ確保の実務対応は?
A6: 処理委託先選定の基準を確立・適用し, また, GDPR上要求される処理委託契約を締結することが特に重要です。【解 説】
(a) 処理委託先選定の基準の確立・適用 管理者は, 個人データの処理委託前に, 委託先(処理者)によるセキュリティ措置が上記のセキュリティを十分に保証できること(sufficient guarantees)を確認し(28(1))かつそれを証明できなければなりません(5(2), 24)。従って, 先ず, 処理を第三者に委託する場合の選定基準を確立しなければなりません。 【クラウド・サービス】 例えば, クラウド・サービスについては, 国際的には以下のような基準への適合認証等を得ていることの確認が上記の十分性確認の一つの方法となるでしょう。 ① ISO 27001(情報セキュリティ管理) 国際標準化機構(International Organization for Standardization)(略称 「ISO」)の情報の秘密性, 完全性および可用性の管理に関する基準 ② ISO 27017(クラウドセキュリティ) クラウド・サービスを特に対象とした基準。 ③ ISO 27018(クラウドプライバシー) クラウド・サービスにおける個人情報保護方法を規定する基準。 ④ SSAE16 / ISAE 3402 American Institute of Certified Public Accountants(米国公認会計士協会)のセキュリティ, 可用性, 処理の整合性および秘密性に関する基準。 (b) 処理委託契約の締結 管理者は, 所定事項を含む処理委託契約を締結しなければなりません(28(3))。これについては, 2921年4月6日に欧州委員会がGDPR第28条の委託契約の標準契約条項(SCC)(筆者訳はこちらから)を公表していますから, これを使用するのがいいでしょう。 今回は以上です。「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー
【筆者の最近の個人情報保護関連書籍】
NEW!! 「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24,
NEW!! 「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月
[3] 【注】 [1] 【ICOサイトにおけるセキュリティーに関する解説】 (i) "Security" (ii) "Security outcomes" [2] 参照 Gabriel Maldoff “The Risk-Based Approach in the GDPR: Interpretation and Implications” IAPP [3]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
|
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |