先日、情報セキュリティの専門家ジェニー ラドクリフのポッドキャスト The Human Factor で、個人データ保護の専門家サラ クラークのインタヴューを聞きました。(ちなみにこのポッドキャストはエンターテイメントと教養を兼ね備えた、とてもためになる内容なので、機会があったらぜひ聞いてみてください)
サラは、5月25日のGDPR発効後の状況について非常に明確な予測をしていました。彼女は多くの人がある一定の達成感に浸ってしまうことを懸念していると言っていました。これは発言そのままではありませんが、そういう趣旨のことを言っていました。GDPRには、戦術的なアプローチだけでなく将来に向けた戦略目標が含まれているのです。
情報セキュリティ業界のリーダーと言われるような同業者にさえ、GDPRについて精通していなかったり、当然知っているべきことを知っていなかったりする人たちがいます。当然ながらこれは、GDPRというかつてない重大な変更プロセスを支えるべき立場にいる私たちとして、あってはならない危険な状態です。
先日あるペネトレーションテストを提供する会社の担当者と電話で会話した際に、GDPRがあらゆるネットワークに対しペネトレーションテストの実施を「絶対必須」と規定していると言うので驚きました。それでGDPR中で「pen(ペネトレーションテスト)」について検索すると、indePENdent(独立した)、dePENding(応じて)、そして PENalty(罰則)などの情報は得られましたが、ペネトレーションテストについての説明は何ら見つかりませんでした。
前述の担当者の主張の擁護すれば、確かに第2節32条は、「管理者及び取扱者は、保護レベルをリスクに見合ったものにするため、適切な技術的及び組織的対策を実施しなければならない。特に次に掲げる事項を含む・・・取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス」と定めています。
これを非常に大まかにざっと解釈すれば、ペネトレーションテストを示唆していると解釈できなくもないですが、監査を意味していると捉えることもできます。
なぜこんなことになったのか、いろいろと聞いて回った結果、多くの人がGDPRに関する知識をネット配信、インフォグラフィックス、カンファレンスや関連機関の発信する情報などから仕入れていることが分りました。一方、法廷では、人づてに知り得た知識は「伝聞法則」に当たり、実際の経験に基づいていないため効力を持たない恐れがあります。
伝言ゲームの落とし穴はみなさんよくご存じでしょう。又聞きした情報は徐々に元の情報から逸れて、最後には事実が歪められてしまいます。
GDPRは手強い規則であり、難解に見える部分もあります。私のお気に入りの一節(前文37項)を見てみましょう。
「事業グループとは、統括する企業と統括される企業とを含み、統括する企業とは、他の企業に対して支配的な影響力を及ぼすことのできる企業であり、従って例えば…」
まるで空飛ぶモンティ・パイソンの台詞のように意味不明です。
ところがこのような一見難解な文言であっても、より深く読み進めていくうちにGDPRの規則には思った以上に首尾一貫した流れがあることが見えてきます。
そこで情報セキュリティの同業者への私からのアドバイスは、まずお茶をたっぷり用意し、腰を据え、じっくり読む解いてくださいということです。GDPRに関連する有益な記事(例えばこの記事)や参考文献は、補足資料として役立つものですが、それだけに頼ったとしてもGDPRの規則を深く読み解くことはできません。これでは、ギリシャ神話のオデュッセウスを読破するかわりに、あらすじを読むようなもので、それでは各シーンをまざまざと思い起こすことなど不可能です。
短時間で読破しようなどと期待しないでください。ただしオデゥッセウスなどの古典文学と同様に、時間をかけた分その労苦に勝る報償を得ることは間違いありません。
今後もずっと皆で一緒にこの問題に取り組んでいくことになるのですから。
