リスク・ベースのセキュリティ対策とは


企業におけるGDPR遵守対応について弊社がコンサルティング活動をする中で頻繁にお尋ねいただく問題がある。GDPR第32条が求める適切なセキュリティ対策とは一体どのような内容か、具体的に必要な対策を特定するにはどうすればよいか、という問題である。GDPRは個人データ処理について様々な規制を及ぼす。これらの規制のうち、適法根拠の特定、同意取得・管理、透明性を確保するための情報提供(プライバシーノーティス)、データ主体権利行使への対応、外注処理者の契約による管理、域外移転の適法化などについては、一定の手続きを踏めば自ずから答えが出る。企業がとるべき対策内容も明確である。しかし、第32条は、最新の技術水準、実施コスト、データ処理の目的内容とこれに伴うリスクに応じて、リスクにふさわしいレベルのセキュリティを確保するために適切な措置をとれと命ずる。具体的にどんな方法論でこのような対策を特定すればいいのか、客観的に対策がGDPRが要求する水準を満たし、適法と言えるのかどうかについて不安を抱えていらっしゃる企業は多い。
そこで、GDPR第32条が求めるセキュリティ対策の特定方法と具体的内容について、監督機関が説明したガイダンスを2点紹介したい。

【英国ICOによるガイダンス】
ICOは、守るべき対象、必要とされるセキュリティレベル、考慮すべき対策について示すガイダンスを提供している。
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/
また、英国サイバーセキュリティーセンター(NCSC)は、”Cyber Essential”と題する最低限のセキュリティ・ルール(ファイアウォール、デバイス設定、アクセス制限、マルウェア対策、ソフトウェア更新など)を提供している。
www.cyberessentials.ncsc.gov.uk

【フランスCNILによるガイダンス】
CNILは、「個人データセキュリティのガイド」を公開している。英語版もある。
https://www.cnil.fr/en/new-guide-regarding-security-personal-data
このガイダンスでは、(1)個人データ処理業務の洗い出し、(2)リスクの評価、(3)対策の実施、(4)定期的な監査の実施というISMSを実施している企業にはなじみ深いフレームワークを採用し、具体的なセキュリティ管理策として、担当者の意識喚起、ユーザー認証、アクセス管理、アクセスログ、PC管理、内部ネットワーク保護、サーバー保護、Web保護、継続性保証、安全なアーカイブ、処理者のマネジメント、他組織とのデータ交換の安全確保、物理セキュリティ、ソフトウェア開発の監督、暗号化と署名などについて解説している。

GDPR第32条が求めるセキュリティ対策は、第30条の処理記録(処理一覧)にその実施内容を記入することとされており、監督機関にとっては、企業のGDPR遵守状況を判断するために最初に目をつける箇所であり、万一データ侵害事故が発生した場合には、管理者・処理者の過失の程度を判断し、制裁金を算定するための重要な考慮要素となるものである。上に例示したガイダンスは、GDPRが求めるリスク・ベースのセキュリティ対策という相対的な要求を理解し、その具体的な方法論を理解する上で非常に参考になるものである。

関連記事