近年、世界各国で改正されている個人情報保護法令の要求事項が厳しくなってきています。例えばEUの一般データ保護規則(GDPR)においては、情報流出後72時間以内に当局に報告が必要であること、日本の改正個人情報保護法では、個人情報の第三者提供時に記録が必要であること、マイナンバー法では、特定個人情報(マイナンバー)が含まれるファイルへのアクセスを制限し、そのアクセス記録を取得することなどが求められます。今回は、個人情報保護法令の対応として、技術的なセキュリティ対策について解説します。
重要データ保護に効果的なデータセキュリティとIDセキュリティ
一般データ保護規則(GDPR)、改正個人情報保護法、マイナンバー法ですが、これらの程度は法令によって違いはあるものの、そもそも「自社がどの様な個人情報をどこに保有するか(保管方法)」と「保有個人情報をどの様に利用しているか(利用方法)」を把握していなければ対応できないことは共通しています。
個人情報は紙またはデータで存在しますが、有形である紙は書庫の施錠や監視カメラといった物理的セキュリティ対策が主となるため、ここでは無形の重要データに適用される技術的セキュリティ対策に絞って話を進めます。
データは無形であるため、その伝送・処理・保管といった観点で技術的セキュリティ対策が考えられます。それらは、図1で表すようにネットワークセキュリティ、端末セキュリティ、サーバセキュリティなど幾つもの種類がありますが、データそのものを守るデータセキュリティおよびそのデータに誰をアクセスさせるかというIDセキュリティの2つが、データに直接的で効果的な技術的セキュリティの観点です。
先に述べた「自社がどの様な個人情報をどこに保有するか(保管方法)」は主にデータセキュリティで、「保有個人情報をどの様に利用しているか(利用方法)」は主にIDセキュリティで強化するイメージです。
図1:重要データ保護に効果的なデータセキュリティとIDセキュリティ[クリックすると図が拡大します]
データセキュリティはデータそのものを守る対策で、以下の様なものがあります。
- データ保管場所(データを安全な場所に保管すること)
- データ暗号化
- データ流出防止(データの流出を検知する仕組み)
この記事は参考になりましたか?
- IT部門が鍵を握る!世界の個人情報保護規制への対応連載記事一覧
-
- 法令対応で力量が試されるIT部門。各国の個人情報保護法令と企業の管理策まとめ
- 個人情報保護法令に対応した技術的なセキュリティ対策のポイントを整理しよう
- 事前の対策なしに“72時間以内”の報告は困難―GRCソリューションは法令のどこに効くのか?
- この記事の著者
-
万仲 隆之(マンチュウ タカユキ)
KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリー ディレクター
システムインテグレータにて、情報セキュリティ・内部統制の構築支援・監査等のITマネジメント関連業務およびシステム企画・要求分析・要件定義等に従事。2011年にあずさ監査法人に入所、2014年にKPMGコンサルティング株...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
