前回のブログでは、GDPR(2018年5月25日発効)の中核となる目的、特色、および原則について述べてきました。このパート2では、ITセキュリティに関連する中の重要なものを掘り下げます。
GDPRの目的は、個人データの取り扱いに際する「自然人」の保護に関するEUの規則を確立し、個人データの自由な流通に関する指針を提供することです。GDPRは、個人の基本的権利および自由、個人データの保護を擁護しますが、個人データの取り扱いを制限するものではありません。
そのためGDPRは、データ保護をプライバシーの権利から完全に切り離して扱っています。ITセキュリティ関連の主要な目標の一つは、個人データのリスクの評価です。したがって情報セキュリティの観点では、「データ保護影響評価(DPIA:Data Protection Impact Assessment)」が、組織にとって主要な課題といえるでしょう。
DPIAの勧め
DPIAは、企業が保有する「個人を識別可能な情報(PII: Personally Identifiable Information)」のプライバシーリスクの分類および評価に非常な重要な役割を担います。組織は「データ主体」のPIIリスクとその影響を減少させるために適切なプロセスを導入しなけばなりません。そうすることで組織はGDPR不履行のリスク、IT運用リスクに対処し、同時に組織への「信頼」を醸成し競合への優位性を強化するようなメカニズムを構築できるのです。
DPIAはどんな組織でも導入・実行すべき、より広範囲のリスクマネジメントプロセスの一部と捉えることができます。DPIAは、PIIのリスクの分析を実施し、その上で特定されたリスクに適したコントロール手段でのリスク軽減のプロセスを提供するものです。
DPIAの範囲
情報セキュリティは、情報の機密性、完全性、可用性、真正性、および責任追跡性の保護を目的としており、これはDPIAの適用範囲とオーバーラップしています。しかしDPIAは、情報セキュリティーにかかるコンプライアンス、正確性、継続性、修復性等を目的としています。従って、DPIAはより広範囲のプロセスに対応しているのです。
つまりDPIAとは、データ主体の権利と自由に対するリスクを評価し、リスクの最小化のためのコントロール手段を提供します。これによってGDPRの要件に準拠したPII保護の手法が確実に確保されます。
責任者とその範囲
- GDPRの責任者(通常は、新規に指名されるデータ保護責任者(DPO)が兼任)がDPIA実行の指揮・指導を担います。
- リスク責任者は、プライバシーへのリスクに対処し、リスクの軽減化のためコントロールを実行します。
- GDPRの責任者、および「リスクマネジメントのトップ」は、DPIAプロセスで特定されたリスクの軽減化のために適切なコントロールが実行されていることを確認しなければなりません。
DPIAのフェーズ
GDPRは、PII処理の中でも、データ主体に高いリスクをもたらす可能性がある場合に、データ管理者・責任者にDPIAの実行を求めています。DPIAには、組織におけるデータ取り扱いとPIIの保護方法について体系的で広範なアセスメントが含まれる必要があります。そのためDPIAの手続きには以下のフェーズがあります。
フェーズ1:DPIA実行の基準を策定する
フェーズ2:DPIAプロセスの開始
フェーズ3:データ処理(データ主体の特定、および属性)
フェーズ4:プライバシーリスク、およびリスクアセスメント手法の特定
フェーズ5:解決方法の推奨、残余リスクに関する注意喚起
フェーズ6:GDPR実行後のコンプライアンス アセスメント
フェーズ7:DPIAレポートの提出および承認
フェーズ8:変更管理関連文書の維持・更新
DPIAによるPIIの処理に伴うリスクの特定にはこのようなフェーズがあります。そのため、DPIAの主要な各フェーズの要点を明確に示すことで、組織はPIIリスクの軽減のために適切な措置とコントロールを講じることができるようになります。役員もDPIAのための手続きと計画にかかる予算設定に際して正しい情報に基づいて適切な意思決定を行うことができます。
はじめに、GDPRの概略と、前身のEUデータ保護指令との主な違いについて確認していきます。
リスクアセスメント
GDPRは、データのプライバシーに対し、リスク管理型のアプローチをとっていますが、リスクアセスメントの具体的な方法については特に定めていません。リスクアセスメントは、情報セキュリティにとってますます重要になってきています。しかし「リスク分析」と「リスクアセスメント」を区別することは重要です。
リスク分析とは、組織への脅威の特定、かかる脅威に対する脆弱性の分析等のことです。一方、リスクアセスメントは、組織への潜在的リスクの観点から、現状のコントロールの評価、能力のアセスメントを行います。どの組織も、自分たちのリスクプロファイルを作成し、事業にとっての必要性、リスク選好に基づいてリスクのアセスメントを行わなければなりません。
GDPR対象のデータに対するリスクアセスメントは以下のステップを踏んで開始されることが推奨されます。
- リスク管理のタスク、責任、活動内容、および予算を特定します。
- リスク責任者を指名し、所掌を明確に定義します。
- 特定されたリスクの属性(ラベル付け、説明、蓋然性、および重要度)を整理します。
- GDPR適用対象データのマッピングおよび分類を行います。
- データの機密性、完全性に対する潜在的な影響を特定します。
- 特に軽減が必要と確認されたPIIへのリスクに対処するコントロールを立案します。
- 特定されたリスク、コントロールの有効性について報告します。
リスクアセスメントの結果から、特定のPIIの内在的なリスク、それに対し実行すべきコントロール、および残余リスクが明らかになります。このプロセスは、データ管理者がGDPRの推奨するリスク管理型のフレームワークを取り入れる際にも有効で、同時に脅威と脅威の影響についてよりよく知ることができます。
まとめ
GDPRは組織に対し、PIIへのリスクの最小化、および個人のプライバシーの保護のため、上述の通り十分な手続きを導入することを推奨しています。事実、プライバシーは新規制の中核的原理です。加えてGDPRは、データ管理者による堅牢なガバナンスの必要性を強調、組織は、データ処理を監視し、個人に対しても、彼らのPII保護を確実にすることによって、より一層の安心を得ることができるのです。
GDPRはさらに、データ処理にDPIAを行うなど、適切なプロセスの重要性を強調します。新しいプロセスの導入に系統的アプローチを取り、データ保護責任者のような新しい役割を十分前もってタイムリーに任命するような組織であれば、新しい規則を首尾よく採用し、また非常に上手に順応できるでしょう。
このようにリスクアセスメントは、保護すべき情報資産、保護されていない場合の個人・組織の潜在的リスク、プロセスの透明性確保の方法を特定、組織にとって再構築が必要な点を特定することによって、究極的には事業主のGDPR遵守を確実にするのです。
著者について:
Reza氏は、過去27年に渡りIT分野で様々なポストを歴任し、現在は情報セキュリティ分野の企業コンサルタントを務めています。情報セキュリティ、リスクマネジメント、中東での事業継続、ITガバナンスなどの幅広い分野でのコンサルタント業務が専門の二つの企業で国際マーケティングマネージャーを務めた経験もあります。現職では情報セキュリティ対策のコーチングを通じ、顧客のより効果的で効率的な情報システム、リスクマネジメント、およびセキュリティガバナンスなどのサポートを行っています。世界各地の商業・財務分野の豊富な職務経験を通じて様々な文化的背景や職業倫理に理解があるため、最新の情報セキュリティの要件、様々な脅威を熟知し、GRC環境下でよりよい結果を引き出すことができます。
Reza氏は、Information Security and Audit Control Consultancy (ISACC)のマネージングダイレクター。Information Risk Management and Assurance(IRMA)の議長、BCS(英国コンピュータ協会)特任グループ所属、およびBritish Standard Institution (BSI:英国規格機関)のRM/1 Risk Management Committee(RM/1リスクマネジメント委員会)在籍。
Juliet Flavell氏は、ITプロジェクトマネジメント、および法務分野のサービス業務で多忙を極めていました。2016年、英国の公認ITプロフェッショナルの資格を取得し、現在はテクノロジー関連の非営利組織を運営しています。
編集後記:本記事で表明された著者の意見は、あくまで本人の見解であり、必ずしも Tripwire, Inc. の見解を反映しているわけではありません。
