GDPRにおける安全管理措置:ガイドラインとセキュリティフレームワークとは?

2018-11-07

GDPRにおける説明責任 ~ 個人データの保護

前回のコラムでは、GDPRインシデントが発生した際に、企業が当局に対してGDPR対応に関する説明責任を果たす必要があり、説明責任を果たせるかどうかが、当局が制裁金を決定する際の重要な要素となることをお伝えしました。ここでいう説明責任とは、企業がGDPR対策として何を根拠にどのような対応を実施しているかを説明できることを意味します。企業は現状のGDPR対応状況を把握し、改善が必要な項目については改善に向けた計画があることを説明する必要があります。

個人データの保護という観点では、第32条「Security of processing」(取扱いの安全性)で触れられている「安全管理措置」への対応を講じる必要があります。今回は「安全管理措置」のガイドラインや企業が対応すべき事項を解説します。

GDPR第32条1項の要求事項

「適切な技術的および組織的対策を実施しなければならない」

a.個人データの仮名化および暗号化

b.現行の機密性、完全性、可用性ならびに取扱いシステムおよびサービスの復旧を確実にする能力

c.物理的または技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力

d.取扱いの安全を確実にするため技術的および組織的対策の効果を定期的に点検、審査および評価するプロセス

GDPR第32条で要求される安全管理措置

上記で述べたGDPR第32条で要求される安全管理措置について、どのレベルのセキュリティ対策を講じていれば要求を満たすのか、明確なガイドラインは設定されておらず、自社で判断する必要があります。判断の根拠として、EUの当局が公開しているガイドラインを参照することも有効です。

データ保護に関するガイドラインは、イギリスのICO、フランスのCNIL、EU委員会のENISAなどが発行しています。これらのガイドラインは、個人データを侵害するリスク、具体的には、保護すべき個人データの種別(センシティブかどうか)やデータ量(少量か大量か)といった判断軸で使い分けます。

ICO、CNIL、ENISAの順で、より高いリスクに対応していると言えます。例えば、少人数の従業員データを取り扱う場合はリスクは低いと判断できるのでICOを適用する、BtoCビジネスにおいて消費者の個人データを大量に取り扱う場合にはCNILを適用する、といったかたちで使い分けます。健康情報などのセンシティブデータを取り扱う場合にはENISAを適用し、リスクシナリオに応じて適切な安全管理措置を検討します。

同様に、一企業の中でも、組織や業務でガイドラインの使い分けをするケースもあります。例えば、M&Aなどで合併した海外子会社も含めたGDPR対応を検討する場合、それぞれで取り扱う個人データの属性に応じてどのガイドラインを適用するかを判断します。

【表1】欧州におけるデータ保護に関するガイドライン

 

Guide to data protection

英国情報コミッショナーオフィス

SECURITY OF PERSONAL DATA
THE CNIL’S GUIDES  - 2018 EDITION

フランス情報処理と自由に関する国家委員会

Guidelines for SMEs on the security of personal data processing

欧州ネットワーク・情報セキュリティ機関

発行国(地域)

イギリス

フランス

EU

発行団体

ICO

CNIL

ENISA

特徴

必要な対応が端的にまとめられている

必要な対応がチェックリストにまとめられている

安全管理措置を選択する前提として、リスク評価の実施を要求している

GDPR施行前の早期に一般公開されていたことから、多くの組織が参照

冊子(PDF)形式でまとめられており、要求事項について詳細な説明がなされている

リスクに合わせて、必要になる安全管理措置が変化するように設計されている

評価

情報量

端的で簡潔な記載に留まるため情報量は少ない

詳細な説明がなされており、情報量が多い

詳細な説明がなされており、情報量が多い

現場への負担

要求事項がリストになっており、現場への負担は低い

一部要求事項が過度であり、クラウドサービス等での対応が困難

リスク評価の実施が必要であり、現場への負担は高い

セキュリティフレームワークを活用した安全管理措置対応

個人データの種類や量、取り扱いのプロセスに応じてガイドラインを選択し、選択したガイドラインに基づくセキュリティフレームワークを元に安全管理措置の対応を進めます。まず、セキュリティフレームワークで定められている項目について、定義されている内容と現状のギャップ(要求を満たしていない部分)を明らかにすることが重要です。表2では、セキュリティフレームワークに基づいてギャップを調査した結果例を示しています。茶色がギャップなし、赤色がギャップありの項目です。

ギャップがない項目については、ないことを再確認し、インシデント発生時に説明できる材料を準備します。ギャップがある項目については、短中期計画でギャップを埋める改善案を検討します。対応にかかる費用やビジネスの重要性などの観点から優先順位を判断し、対応を進めていきます。PwCは、これらのギャップ分析調査やロードマップ策定・改善計画の推進を支援するサービスを提供しています。

【表2】セキュリティフレームワークに基づいてギャップを調査した結果例

執筆者

松浦 大

マネージャー, PwCコンサルティング合同会社

Email

※ 法人名、役職、コラムの内容などは掲載当時のものです。

最新のサイバーセキュリティ コラム・対談


関連情報

Contact us

Follow us