ついに、「一般データ保護規則(GDPR)」が施行されました。Microsoft Office 365 や Google G Suite、Salesforce、Workday、Slack などのクラウドアプリケーションをお使いの場合、知っておきたいことがあり、おそらく実行したほうがいいこともあります。
「一般データ保護規則(GDPR)」は、データプライバシーに関する欧州の新しい法律です。基本的には、EU 市民の個人データの保護をめざした指令であり、個人データとは何かを定義したうえで、個人データを管理・処理する組織の要件を定めています。今回の記事では、どんな情報が個人データと見なされるのか、「データ管理者」や「データ処理者」とはどんな役割か、そしてクラウドアクセスセキュリティブローカー(CASB)を使って GDPR の重要な順守要件を達成するにはどうすればいいかを手短にお伝えします。
何が個人データと見なされるか
GDPR では、個人データがかなり広く定義されています。名前や住所、電話番号、健康データ、財務データなど、データプライバシーの規制でこれまでも一般的だったデータのほか、ひとりの自然人に結び付けられる、または自然人を特定できるあらゆるデータが GDPR の対象です。IP アドレス、Cookie、RF タグなど、解析すれば個人を特定できるあらゆるデータがこれに該当します(たとえば、識別可能なグループで、ある特徴をもつ個人が言及されており、当てはまる人物がひとりしかいないような場合)。
データ管理者とは
データ管理者とは、個人データを処理する目的と手段を定める自然人または法人、公的機関、官庁、その他の団体のことです。単独の場合も、共同の場合もあります。自ら個人データを収集するにしても収集しないにしても、EU 圏の自然人について個人データの処理方法を定めている主体は、データ管理者となります。
データ処理者とは
データ処理者とは、データ管理者に代わって個人データを処理する自然人または法人、公的機関、官庁、その他の団体のことです。ほとんどのデータ管理者は、内部システムを介して管理するデータの処理も行いますが、今日のクラウド環境では、SaaS、PaaS、IaaS を使ってビジネスプロセスを支援する組織が増えています。
Office 365 や Salesforce、Workday、Amazon Web Services などをお使いであれば、それがすべてデータ処理者です。クラウドメールやインスタントメッセージングはどうでしょうか。従業員がクラウドサービスを使ってファイル形式を変換したり、サイズの大きいファイルを同僚間で送受信したりしていれば、それもデータ処理者です。個人データを含むシステムをホスティングするプラットフォーム、あるいは個人データを一時的に保管する(ストレージ、ファイル共有、ファイル変換、翻訳、メール、フォーマットなどの目的で)プラットフォームを提供するだけでも、そうしたクラウドアプリケーションのプロバイダーはデータ処理者となります。
責任の所在と対象
データ管理者は、GDPR に基づく個人データの適法性、公正性と透明性、データの最小化、正確性、保存の制限、完全性、機密性を順守する責任を負います。
また、規制の原理に従ってデータを処理することを保証する責任も負うので、データ管理者としては、責任のある適法のデータ処理者を利用していることを保証できなければなりません。データ処理者は、自身である場合も、第三者のクラウドサービスである場合もあります。
自分、またはデータ処理者の所在地が地理的にどこであっても、EU 市民に適用される個人データを管理している場合には、その個人データを保護する責任があります。また、GDPR を順守するために適切なプロセスと技術上の手段を実装していることも証明しなければなりません。
具体的な手順
GDPR の範疇で考慮することはたくさんありますが、クラウドアプリケーションの利用に限れば、2 つの点に集約されます。必ず、GDPR を順守できるクラウドアプリケーションを使うこと、そしてデータセキュリティを適用して、クラウドアプリケーションを使うときに個人データを保護することです。
どちらも、Symantec CloudSOC などの CASB を使えば簡単に実現できます。
ステップ 1: どんなクラウドアプリケーションを使うか、分析して管理する
まず、従業員がどんなクラウドアプリケーションを使っているか確認します。そのアプリケーションが GDPR 対応かどうかを確かめ、その利用状況を監視してください。
優れた CASB 監査サービスがあれば、拠点と遠隔地の従業員がどんなクラウドアプリケーションを使っているか把握でき、そのクラウドアプリケーションについてのリスク評価と、リスク属性に関する情報が示されます。この情報があれば、使っていいアプリケーションと禁止するアプリケーションの識別も容易です。しかも、自動化されたレポートと直感的なダッシュボードを通じて、クラウドアプリケーションのデータ処理者を監視していることも証明できます。ちなみに、ほとんどの企業では、従業員の使っているクラウドアプリケーションが 1,000 種類を超えており、そのほとんどは GDPR に対応していないことが判明しています。
ステップ 2: クラウドアプリケーションで個人データを保護し、管理する
次は、クラウドアプリケーションで処理される個人データをすべて検出して監視する段階です。所在を追跡して、漏えいのリスクがあるかどうかを特定し、個人データを保護する管理を自動化します。不適合のアプリケーションで個人データが処理されないよう禁止するか、許可する場合でもデータにアクセスできるユーザーは制限します。データの暗号化も検討しましょう。
CASB が優秀であれば、クラウドアプリケーションにおける個人データについて、データ漏えい防止(DLP)とデータセキュリティが実施されます。コンテンツを自動的にスキャンし、個人データが含まれていれば機密扱いにします。データの格納場所、データにアクセスしたユーザー、漏えいリスクの有無が追跡され、自動のポリシーを通じて、個人データの危険なアップロード、ダウンロード、アクセスを防ぐことができます。レポートとダッシュボードがあるので、クラウドでの個人データ保護の手段を示せることにもなります。
この記事についてさらに詳しく知りたい方には、以下の資料もお勧めします。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja をご登録ください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo もご覧ください。