前回のブログでは、GDPR(2018年5月25日発効)の中核となる目的、特色、および原則について述べてきました。このパート2では、ITセキュリティに関連する中の重要なものを掘り下げます。
GDPRの目的は、個人データの取り扱いに際する「自然人」の保護に関するEUの規則を確立し、個人データの自由な流通に関する指針を提供することです。GDPRは、個人の基本的権利および自由、個人データの保護を擁護しますが、個人データの取り扱いを制限するものではありません。
そのためGDPRは、データ保護をプライバシーの権利から完全に切り離して扱っています。ITセキュリティ関連の主要な目標の一つは、個人データのリスクの評価です。したがって情報セキュリティの観点では、「データ保護影響評価(DPIA:Data Protection Impact Assessment)」が、組織にとって主要な課題といえるでしょう。
DPIAは、企業が保有する「個人を識別可能な情報(PII: Personally Identifiable Information)」のプライバシーリスクの分類および評価に非常な重要な役割を担います。組織は「データ主体」のPIIリスクとその影響を減少させるために適切なプロセスを導入しなけばなりません。そうすることで組織はGDPR不履行のリスク、IT運用リスクに対処し、同時に組織への「信頼」を醸成し競合への優位性を強化するようなメカニズムを構築できるのです。
DPIAはどんな組織でも導入・実行すべき、より広範囲のリスクマネジメントプロセスの一部と捉えることができます。DPIAは、PIIのリスクの分析を実施し、その上で特定されたリスクに適したコントロール手段でのリスク軽減のプロセスを提供するものです。
情報セキュリティは、情報の機密性、完全性、可用性、真正性、および責任追跡性の保護を目的としており、これはDPIAの適用範囲とオーバーラップしています。しかしDPIAは、情報セキュリティーにかかるコンプライアンス、正確性、継続性、修復性等を目的としています。従って、DPIAはより広範囲のプロセスに対応しているのです。
つまりDPIAとは、データ主体の権利と自由に対するリスクを評価し、リスクの最小化のためのコントロール手段を提供します。これによってGDPRの要件に準拠したPII保護の手法が確実に確保されます。
GDPRは、PII処理の中でも、データ主体に高いリスクをもたらす可能性がある場合に、データ管理者・責任者にDPIAの実行を求めています。DPIAには、組織におけるデータ取り扱いとPIIの保護方法について体系的で広範なアセスメントが含まれる必要があります。そのためDPIAの手続きには以下のフェーズがあります。
フェーズ1:DPIA実行の基準を策定する
フェーズ2:DPIAプロセスの開始
フェーズ3:データ処理(データ主体の特定、および属性)
フェーズ4:プライバシーリスク、およびリスクアセスメント手法の特定
フェーズ5:解決方法の推奨、残余リスクに関する注意喚起
フェーズ6:GDPR実行後のコンプライアンス アセスメント
フェーズ7:DPIAレポートの提出および承認
フェーズ8:変更管理関連文書の維持・更新
DPIAによるPIIの処理に伴うリスクの特定にはこのようなフェーズがあります。そのため、DPIAの主要な各フェーズの要点を明確に示すことで、組織はPIIリスクの軽減のために適切な措置とコントロールを講じることができるようになります。役員もDPIAのための手続きと計画にかかる予算設定に際して正しい情報に基づいて適切な意思決定を行うことができます。
はじめに、GDPRの概略と、前身のEUデータ保護指令との主な違いについて確認していきます。
GDPRは、データのプライバシーに対し、リスク管理型のアプローチをとっていますが、リスクアセスメントの具体的な方法については特に定めていません。リスクアセスメントは、情報セキュリティにとってますます重要になってきています。しかし「リスク分析」と「リスクアセスメント」を区別することは重要です。
リスク分析とは、組織への脅威の特定、かかる脅威に対する脆弱性の分析等のことです。一方、リスクアセスメントは、組織への潜在的リスクの観点から、現状のコントロールの評価、能力のアセスメントを行います。どの組織も、自分たちのリスクプロファイルを作成し、事業にとっての必要性、リスク選好に基づいてリスクのアセスメントを行わなければなりません。
GDPR対象のデータに対するリスクアセスメントは以下のステップを踏んで開始されることが推奨されます。
リスクアセスメントの結果から、特定のPIIの内在的なリスク、それに対し実行すべきコントロール、および残余リスクが明らかになります。このプロセスは、データ管理者がGDPRの推奨するリスク管理型のフレームワークを取り入れる際にも有効で、同時に脅威と脅威の影響についてよりよく知ることができます。
GDPRは組織に対し、PIIへのリスクの最小化、および個人のプライバシーの保護のため、上述の通り十分な手続きを導入することを推奨しています。事実、プライバシーは新規制の中核的原理です。加えてGDPRは、データ管理者による堅牢なガバナンスの必要性を強調、組織は、データ処理を監視し、個人に対しても、彼らのPII保護を確実にすることによって、より一層の安心を得ることができるのです。
GDPRはさらに、データ処理にDPIAを行うなど、適切なプロセスの重要性を強調します。新しいプロセスの導入に系統的アプローチを取り、データ保護責任者のような新しい役割を十分前もってタイムリーに任命するような組織であれば、新しい規則を首尾よく採用し、また非常に上手に順応できるでしょう。
このようにリスクアセスメントは、保護すべき情報資産、保護されていない場合の個人・組織の潜在的リスク、プロセスの透明性確保の方法を特定、組織にとって再構築が必要な点を特定することによって、究極的には事業主のGDPR遵守を確実にするのです。
著者について:
Reza氏は、Information Security and Audit Control Consultancy (ISACC)のマネージングダイレクター。Information Risk Management and Assurance(IRMA)の議長、BCS(英国コンピュータ協会)特任グループ所属、およびBritish Standard Institution (BSI:英国規格機関)のRM/1 Risk Management Committee(RM/1リスクマネジメント委員会)在籍。
編集後記:本記事で表明された著者の意見は、あくまで本人の見解であり、必ずしも Tripwire, Inc. の見解を反映しているわけではありません。