個人データのセキュリティ・アセスメント(CNIL)

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

CNILがGDPR対応の一環として個人データのセキュリティについてガイドラインを作成しています。今日は、ここで示されているアセスメントシートの設問をご紹介します。

以下の項目について対応できてきるかをご検討ください。

1.ユーザの認識向上

1-1. データを処理する人たちに対してデータ・セキュリティについての教育を行っていますか?担当者のセキュリティについての認知度を向上させていますか?

1-2. IT利用の原則を書面化し、実際に運用できていますか?

2.承認

2-1. 各ユーザにユニークな(ログイン)IDを与えていますか?

2-2. 監督機関推奨のパスワードポリシーを採用していますか?

2-3. リセット後パスワードを再設定するよう各ユーザに要求していますか?

2-4. アカウントへのアクセスの試み(回数)を制限していますか?

3.アクセス制限

3-1. 権利プロファイル(authorisation profile)を定義していますか?

3-2. 使用しなくなったアクセス権限を削除していますか?

3-3. 権限の年次レビューを行っていますか?

4.アクセスログの記録とインシデント管理

4-1. ログ記録システムを実装していますか?

4-2. ログ記録システムを実装していることをユーザに知らせていますか?

4-3. ログ記録装置およびログ情報を保護していますか?

4-4. 個人データ侵害通知手順を整理していますか?

5.ワークステーションの安全確保

5-1. 自動でセッションをロックする機能を整備していますか?

5-2. ウィルス対策ソフトを定期的に更新していますか?

5-3. ファイアーウォール・ソフトをインストールしていますか?

5-4. ユーザのワークステーションを(リモートアクセス等で操作する際)ユーザの同意を事前にとっていますか?

6.モバイルデータ処理の安全確保

6-1. モバイル装置に暗号化を施していますか?

6-2. データを定期的にバックアップ、同期させていますか?

6-3. スマートフォンをロック解除するためにパスワードやパターン認識等を用いていますか?

7.内部ネットワークの保護

7-1. ネットワークトラフィックを必要最低限に限定していますか?

7-2. モバイル・コンピューティングへのリモートアクセスをVPN経由とし、安全を確保していますか?

7-3. Wi-FiネットワークにはWPA2プロトコルまたはWPA2-PSKプロトコルを採用していますか?

8.サーバの安全確保

8-1. ツールや管理インターフェースへのアクセスを有資格者のみに限定していますか?

8-2. 重要なアップデートを遅滞なく行っていますか?

8-3. データの可用性を確保していますか?

9.ウェブサイトの安全確保

9-1. TLSプロトコルを用い、その実装を確認していますか?

9-2. URL経由でパスワードやIDが転送されないことを確認していますか?

9-3. ユーザに入力してもらう項目は想定範囲内のものですか?

9-4. サービス提供に不要なクッキーに対しては同意バナーを準備していますか?

10.継続性の確保

10-1. 定期的なバックアップを行っていますか?

10-2. バックアップメディアは安全な場所に保管されていますか?

10-3. バックアップの移送には安全策を施していますか?

10-4. 事業の継続性を検証するプロセスを用意し、定期的に検証していますか?

11.アーカイブの安全確保

11-1. アーカイブデータへのアクセスについてアクセス方法を指定し、実装していますか?

11-2. 不要となったアーカイブは安全に破壊していますか?

12. メンテナンス監視とデータの破壊

12-1. レジスタでメンテナンス記録をつけていますか?

12-2. 組織内の責任者がサードパーティによる作業を監督していますか?

12-3. ハードウェアを廃棄する前にデータを全消去していますか?

13. データ処理者の管理

13-1. 外注処理者との契約に特定の条項(GDPR28条に準じた条項)を追加しましたか?

13-2. データ回復条件およびデータ破壊条件を整理していますか?

13-3. 実施している安全策が実効性を持つことを確認していますか?(セキュリティー・オーディット、現場監査等)

14. 他の組織とのデータ交換時の安全確保

14-1. 送信前にデータを暗号化していますか?

14-2. 送信相手が正しい相手か確認していますか?

14-3. 機密情報を別送で、異なるチャネルを用いて送っていますか?

15. 物理セキュリティ

15-1. 敷地内へのアクセスは鍵付のドアで制限していますか?

15-2. 侵入防止アラームを設置し、その動作を定期的に確認していますか?

16. ソフトウェア開発の監督

16-1. プライバシーとエンドユーザを尊重するようなパラメータを提供していますか?

16-2. コメント入力欄の設置を避け、設置している場合は厳しく監督していますか?

16-3. 架空データまたは匿名データでテストを実施しましたか?

17. 暗号機能の使用

17-1. 利用しているアルゴリズム、ソフト、ライブラリは広く認められているものですか?

17-2. 秘密の情報や暗号キーは安全な方法で保存していますか?