個人データのセキュリティ・アセスメント(CNIL)

CNILがGDPR対応の一環として個人データのセキュリティについてガイドラインを作成しています。今日は、ここで示されているアセスメントシートの設問をご紹介します。

以下の項目について対応できてきるかをご検討ください。

1.ユーザの認識向上

1-1. データを処理する人たちに対してデータ・セキュリティについての教育を行っていますか?担当者のセキュリティについての認知度を向上させていますか?

1-2. IT利用の原則を書面化し、実際に運用できていますか?

2.承認

2-1. 各ユーザにユニークな(ログイン)IDを与えていますか?

2-2. 監督機関推奨のパスワードポリシーを採用していますか?

2-3. リセット後パスワードを再設定するよう各ユーザに要求していますか?

2-4. アカウントへのアクセスの試み(回数)を制限していますか?

3.アクセス制限

3-1. 権利プロファイル(authorisation profile)を定義していますか?

3-2. 使用しなくなったアクセス権限を削除していますか?

3-3. 権限の年次レビューを行っていますか?

4.アクセスログの記録とインシデント管理

4-1. ログ記録システムを実装していますか?

4-2. ログ記録システムを実装していることをユーザに知らせていますか?

4-3. ログ記録装置およびログ情報を保護していますか?

4-4. 個人データ侵害通知手順を整理していますか?

5.ワークステーションの安全確保

5-1. 自動でセッションをロックする機能を整備していますか?

5-2. ウィルス対策ソフトを定期的に更新していますか?

5-3. ファイアーウォール・ソフトをインストールしていますか?

5-4. ユーザのワークステーションを(リモートアクセス等で操作する際)ユーザの同意を事前にとっていますか?

6.モバイルデータ処理の安全確保

6-1. モバイル装置に暗号化を施していますか?

6-2. データを定期的にバックアップ、同期させていますか?

6-3. スマートフォンをロック解除するためにパスワードやパターン認識等を用いていますか?

7.内部ネットワークの保護

7-1. ネットワークトラフィックを必要最低限に限定していますか?

7-2. モバイル・コンピューティングへのリモートアクセスをVPN経由とし、安全を確保していますか?

7-3. Wi-FiネットワークにはWPA2プロトコルまたはWPA2-PSKプロトコルを採用していますか?

8.サーバの安全確保

8-1. ツールや管理インターフェースへのアクセスを有資格者のみに限定していますか?

8-2. 重要なアップデートを遅滞なく行っていますか?

8-3. データの可用性を確保していますか?

9.ウェブサイトの安全確保

9-1. TLSプロトコルを用い、その実装を確認していますか?

9-2. URL経由でパスワードやIDが転送されないことを確認していますか?

9-3. ユーザに入力してもらう項目は想定範囲内のものですか?

9-4. サービス提供に不要なクッキーに対しては同意バナーを準備していますか?

10.継続性の確保

10-1. 定期的なバックアップを行っていますか?

10-2. バックアップメディアは安全な場所に保管されていますか?

10-3. バックアップの移送には安全策を施していますか?

10-4. 事業の継続性を検証するプロセスを用意し、定期的に検証していますか?

11.アーカイブの安全確保

11-1. アーカイブデータへのアクセスについてアクセス方法を指定し、実装していますか?

11-2. 不要となったアーカイブは安全に破壊していますか?

12. メンテナンス監視とデータの破壊

12-1. レジスタでメンテナンス記録をつけていますか?

12-2. 組織内の責任者がサードパーティによる作業を監督していますか?

12-3. ハードウェアを廃棄する前にデータを全消去していますか?

13. データ処理者の管理

13-1. 外注処理者との契約に特定の条項(GDPR28条に準じた条項)を追加しましたか?

13-2. データ回復条件およびデータ破壊条件を整理していますか?

13-3. 実施している安全策が実効性を持つことを確認していますか?(セキュリティー・オーディット、現場監査等)

14. 他の組織とのデータ交換時の安全確保

14-1. 送信前にデータを暗号化していますか?

14-2. 送信相手が正しい相手か確認していますか?

14-3. 機密情報を別送で、異なるチャネルを用いて送っていますか?

15. 物理セキュリティ

15-1. 敷地内へのアクセスは鍵付のドアで制限していますか?

15-2. 侵入防止アラームを設置し、その動作を定期的に確認していますか?

16. ソフトウェア開発の監督

16-1. プライバシーとエンドユーザを尊重するようなパラメータを提供していますか?

16-2. コメント入力欄の設置を避け、設置している場合は厳しく監督していますか?

16-3. 架空データまたは匿名データでテストを実施しましたか?

17. 暗号機能の使用

17-1. 利用しているアルゴリズム、ソフト、ライブラリは広く認められているものですか?

17-2. 秘密の情報や暗号キーは安全な方法で保存していますか?

データ保護体制の構築

GDPRの施行が一週間後に迫ってきました。
データ保護のコンサルタントとしては少し落ち着かない気分になります。

GDPR対応はまだ端緒についたところのようで、大企業中小企業問わずこの時期でも問い合わせが多くあります。
とにかくスタートすることが大切なので、議事録をつけるという簡単なことからでも行動に移していただければ幸いです。

日本は大丈夫ではという声も聞こえてきますが、対応しておくことを強く勧めています。
欧州では大企業であれば数千万円から一億円以上かけて各社対応しているといいます。彼らはそれだけコストアップしているわけです。
これは欧州企業にとっては業績に対してネガティブ要素として働きます。グローバルにビジネスが展開する中、欧州が自分たちだけネガティブになるように動くというのは考えられません。欧州は、GDPRを世界標準とし世界中の企業が同じ土俵にのるよう促すことでしょう。

実際GDPRは世界標準となりつつあります。
韓国、シンガポール、南米諸国は法をGDPRに近しい形に変えつつあります。

何がいいたいかというと、最終的にはグローバルでGDPRと同様の体制が求められるということです。

現状、日本企業の対応は「欧州データだけ」というスタンスが多いのが事実です。
しかし、「欧州データだけ」というのは逆に複雑な対応を迫られる場合もあります。

世界の潮流がGDPRに向かっているのであれば、社内全体のデータ保護体制をGDPRにあわせてしまうというのが長期的に見てもっともコストがかからない方法だと思います。

データマッピングのポイント

コンサルティングをしている中で感じるデータマッピングのポイントを書いておきます。
データマッピングはデータの棚卸しをするために行います。データ保護体制の基本となるのですが、なぜかまだ標準的な方法が定まっていないようです。

日本企業の場合、データマッピング作業は初めて行うことが多いものです。
そのため規模の大きな会社では作業が膨大となり、通常2、3ヶ月を要します。欧州の個人データを扱っている業務が少ない会社でも、書き出してみると意外とわかっていないことが出てくるものです。現状把握作業とは、得てしてそういうものかもしれません。

規模が大きくなることが見込まれる場合、はじめからソフトウェアを導入したほうがよいでしょう。
規模が大きいかどうかの目安は、年間に行うデータ保護影響評価(DPIA)を行う件数で判断したらよいといわれています。
年間DPIAを実施する件数が20件以下であるならばエクセルで管理したらよいでしょう。これを超えるのであればソフトを導入したらよいと思います。

有事の説明責任を考慮するとソフトは英語で使用することを薦めます。
また、北米、欧州には安価で完成度の高いソフトを作成しているソフトウェア会社が数多くあります。
デモンストレーションも受けられるため、ベンダーリストを入手してしっかりと調査をしていただければと思います。

データマッピングを行う場合、GDPR第30条の処理記録を意識して作ってください。
データマッピングが終わったとき、GDPR第30条の処理記録が完成していることが理想です。
作業をいかにシンプルにするかを考えてください。

データマッピングを行う際、かならずデータフローも同時に追うことになります。
データフローは直感的に理解できるよう整理できれば一番ですが、これは少し慣れが必要です。

マイクロソフト社のVISIOを用いてプロセスとそこで得られるデータ種、保管形態、セキュリティ体制を整理していく手法がよいかと思います。
フレームワークとしてはSIPOCを活用するのが整理しやすいと思います。

SIPOCとは6シグマという手法で用いるフレームワークで、データの供給者からどういうインプットがあり、データの受領者にどういうアウトプットが出て行くのか、一行ずつ書き出します。一人で書くのは難しいので、チームで一緒に書くのが良いでしょう。チームと話をしながら書くことで抜け漏れが防げます。

WP243 rev.01 – DPOのガイドラインを読む(その18:最終回)

DPOのガイドラインもようやく最終回です。
ほぼ全訳をしてきましたが、読者の方のお役に立てたところがあれば幸いです。

GDPRの隠れたリスクは第27条で規定されているrepresentativeです。DPOについての情報は割と出回っているのですが、こちらの情報は非常に少ないですね。
欧州域内での選任義務があるので忘れず対応なさってください。

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.5 Role of the DPO in record-keeping(記録保持におけるDPOの役割)を見ていきます。


GDPR第30条(1)、(2)で規定される記録義務は、管理者、処理者が負うべき義務ですが、実際にはDPOが個人データのインベントリや処理業務の記録をもつことが多くあります。

(法律上は管理者、処理者は「その責任の下処理の記録をメンテナンスする」または「管理者のために行っている処理活動の種類すべての記録をメンテナンスすること」を要求されています。)

このようなDPOの実際上のあり方は、現行法や欧州機関に適用されるデータ保護法の下確立されたものです。

GDPR第39条(1)に示されているDPOの業務は最低限のものでしかありません。
管理者、処理者が処理業務の記録をメンテナンスする業務を、管理者、処理者の責任の下DPOに依頼することはまったく問題ありません。
この記録を用いることでDPOは管理者、処理者が適法に処理を行っているかを監視し、情報を提供したり助言を与えたりすることができます。

どのような形態をとるにせよ、GDPR第30条が求める処理記録のメンテナンスは、管理者、監督機関にとって、
必要なときにその組織が行っている全個人データ処理活動を概観することができるツールとなると考えるべきです。したがって第30条処理記録は、適法性の前提条件であり、効果的なアカウンタビリティの手法として欠かせないものといえます。

WP243 rev.01 – DPOのガイドラインを読む(その17)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.3 Cooperating with the supervisory authority and acting as a contact point(監督機関との協同およびコンタクト先としての役割)4.4 Risk-based approach(リスク・ベースド・アプローチ)を見ていきます。


【監督機関との協同およびコンタクト先としての役割】
GDPR第39条(1)(d)、(e)には「監督機関に協力」し、「第36条で触れられている事前相談を含め、処理に関する問題および、それが適切であれば、その他のことがらについての監督機関のコンタクト先と」なる存在がDPOであると規定されています。

DPOはいわば「ファシリテータ」のような役柄です。
監督機関が第57条で規定された職務を行うに当たって、組織内文書や組織内情報にアクセスする際のファシリテータを行います。また、監督機関が第58条で規定された職務を行うに当たって、調査、修正、許可、助言を執行するファシリテータの役割も行います。

DPOはその職務について秘密保持義務を負いますが、DPOが監督機関に連絡をしたり助言を求めることは可能です。
GDPR第39条(1)(e)は、適切であれば、DPOが監督機関に相談することを可能としています。

【リスクベースドアプローチ】
GDPR第39条(2)には「その性質、範囲、文脈、および目的に鑑みて処理のリスクに十分注意を払っている」ことがDPOの職務の一つとして挙げられています。

DPOは「常識」に基づいて日常業務を行います。データ保護リスクの高い、「優先度の高い活動」に注力するのは自然な振る舞いです。
これはリスクがそれほど高くない処理業務についてGDPR適合性を無視してもよいという意味ではなく、まず優先度の高い活動から取り組む、という意味です。

どのような手法でDPIAを行うべきか、データ保護について内部監査、外部監査をどの分野について行わなければならないか、データ処理活動に責任を持つスタッフやマネジメント層に対してどのような内部トレーニングを提供すべきか、時間とリソースをどの処理業務に使うべきか、ということをアドバイスする際にも、このような選択的かつ現実的なアプローチをとること効果的な方法といえるでしょう。

WP243 rev.01 – DPOのガイドラインを読む(その16)

WP29のDPOのガイドライン(WP243 rev.01)の続きです。
(このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

今日は4 Tasks of the DPO (DPOの職務)のうち、
4.2 Role of the DPO in a data protection impact assessment(データ保護影響評価におけるDPOの役割)を見ていきます。


GDPR第35条(1)は管理者が必要な場合にデータ保護影響評価(DPIA)を行うことと定めています。
しかし、DPOはDPIAを補助する存在となりえます。「設計段階からデータ保護を織り込む」原則に従い、GDPR第35条(2)は管理者がDPIAを行う際、DPOに「助言を求めること」と特記しています。GDPR第39条(1)(c)ではDPOの職務として「DPIAについて、要求された場合助言を与え、第35条にしたがって執り行われていることを監視する」ことをあげています。

WP29は管理者はDPOに対して特に以下の場合助言を求めるよう推奨しています。

  • DPIAを実施すべきかどうか
  • DPIAを行う際にとるべき手法
  • DPIAを社内で行うか社外で外注すべきか
  • データ主体の権利と利益に対するリスクを低減するためにどのような保護策を採用すべきか(技術的、組織的手法を含めて)
  • データ保護影響評価が正しく執り行われているかどうか、およびその結論(処理を続けるべきかやどのような保護策を適用すべきか)がGDPRに適合しているか
  • 管理者がDPOの助言に同意できない場合、DPIA結果は書面でまとめ、DPOの助言がなぜ採用されなかったかを特に説明しなければなりません。

    WP29はさらに、特にDPIAを行ううえでのDPOの職務を管理者が明確に規定し、従業員やマネジメント層(およびその他のステークスホルダに対しても)に周知しておくことを推奨しています。

    WP243 rev.01 – DPOのガイドラインを読む(その15)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は4 Tasks of the DPO (DPOの職務)のうち、
    4.1 Monitoring compliance with the GDPR(GDPR準拠状況をモニターする)を見ていきます。


    DPOはGDPRへの準拠状況をモニターするよう定められています。(GDPR第39条(1)(b)
    また、前文97では「管理者、処理者が社内でのGDPR準拠状況をモニターする支援をしなければならない」とも書かれています。

    GDPRへの対応状況をモニターするために、DPOは以下のことを行うこととなるでしょう。

  • 処理活動を特定するために情報を収集すること
  • 処理活動を分析し、処理活動がGDPRに準拠していることを確認する
  • 管理者、処理者に情報を提供し、助言し、推奨対策を提示する
  • GDPRへの適合状況をモニターするというと不適合箇所に対してDPOが責任を負うと捕らえられそうですが、これは管理者の責任となります。
    GDPR第24条(1)に記載の通り、管理者は以下の義務を負います。

    「GDPRに適合した形で処理が行われていることを確実にし、示すことができるように適切な技術的、組織的手段を講じる」

    データ保護への準拠は会社としての責務であり、DPOだけの責務ではありません。

    WP243 rev.01 – DPOのガイドラインを読む(その14)

    このDPOのガイドラインもあと6回でおわりです。
    この後はTransparencyのガイドライン、Consentのガイドラインを順に読んでいこうと思いますご参照いただければ幸いです。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.5 Conflict of interests”(利益相反)を見ていきます。


    GDPRの第38条(6)ではDPOが兼務となることを許容しています。
    ただし、これには条件がついていて、「そのような業務および責務が利益相反とならないこと」となっています。

    利益相反とは英語で言うところのconflict of interestです。
    「社員の親戚と取引をする」、「出来の悪い友人の息子を雇う」などが該当します。
    ある行為が一方にとっては利益となることが、他方においては不利益となり得る場合、利益相反行為と呼ばれます。

    DPOは独立した「機関」として社内で機能しなければならないので、利益相反があってはなりません。
    DPOを兼務する場合は、DPO業務と兼務する業務の間に利益相反が生じ得ないものである必要があります。

    したがって、都合のよい解釈を行ってしまう可能性があるため、「組織内で個人データの処理の目的と手段を決定する」こととなる地位にDPOがつくことはできません。
    DPOが就き得る職務は組織ごとの事情に左右されるため、ケース・バイ・ケースで考えます。
    実際的な目安としては、以下を参照ください。

  • CEO、COO、CFO、CMO、マーケティング部門長、HR部門長、IT部門長といったシニア・マネジメントは利益相反となり得る地位である
  • シニア・マネジメントに限らず、処理の目的と手段を決定する役割となるような地位・役職も利益相反となり得るものである
  • さらに、外部DPOの選任に当たっては、データ保護に関する問題が生じた際に管理者、処理者を代表して法廷に立つような存在をDPOとしてしまうと、利益相反となる可能性があります。

    組織の活動内容や規模、構造によって要件は変わりますが、DPO選出の際は以下を参考にするとよいでしょう。

  • DPOの機能と両立し得ない地位を特定する
  • 利益相反を回避するために参照できる内規を作成する
  • 利益相反についての概説を内規に含める
  • DPOの機能において、DPOには利益相反が生じていないことを宣言し、DPOが利益そう反してはいけないことを印象付ける
  • 組織内規則に安全策を含め、DPOの地位に空きができた場合の公募や外部DPOとのサービス契約では、利益相反を避けるために十分正確で詳細な説明を行う(利益相反はDPOを内部で設定しても外部で設定しても、さまざまな形で生じ得ます)
  • WP243 rev.01 – DPOのガイドラインを読む(その13)

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.4 Dismissal or penalty for performing DPO tasks”(DPOの業務に対する解雇処分またはペナルティー処分)を見ていきます。


    GDPRの第38条(3)には次のように書かれています。
    「管理者、処理者は(DPOが)行った職務に対して解雇処分またはペナルティー処分を行ってはならない」

    これは、DPOの独立性を担保するための条項の一つです。独立性を担保するためには適切な保護がされなければなりません。
    DPOとしての職務を執行した結果としてペナルティーをうけることをGDPRは禁止しています。

    例えば、DPOがある処理について「リスクが高い」と判断し、管理者、処理者に対してデータ保護影響評価を執り行うように助言したとします。
    管理者、処理者は「リスクが高い」と考えておらずDPOと意見が異なっていることがありえます。
    その場合、DPOが管理者、処理者の意に反する助言を与えたことによって解雇されるといったことはあってはならない、というのが本条項の意図です。

    ペナルティーには直接、間接を問わずさまざまなものが含まれます。
    次のようなものはペナルティーと考えられるものの一例です。

    昇進できなくなること。昇進が遅れること。キャリアを進めることを妨害すること。他の従業員が受けている手当て等を受けられなくなること。

    ペナルティーが実際に実施されたかどうかが問題ではなく、DPOの活動に関連して(意図に従わない場合)ペナルティーを受ける可能性があることを示唆するだけでもペナルティーとして理解されます。

    一方で、通常のマネジメント規則、各国の契約法、雇用契約法、犯罪法等、DPOの業務を行うことに関連しないことがらに関してDPOが違反したような場合には、
    DPOの解雇処置を妨げるものではありません。窃盗、身体的・心理的・性的ハラスメント等は当然許されるものではありません。

    本条項の意図を取り違えないようにご注意ください。
    DPOの地位が安定的であり不当な(unfair)な解雇等から護られていれば、DPOが独立して職務を行うことができる可能性が高まると考えるのは自然でしょう。
    WP29はこのことを期待しているということを忘れないようにしてください。

    WP243 rev.01 – DPOのガイドラインを読む(その12)

    中国のインターネット安全法(中国サイバーセキュリティ法)にそろそろ動きが出てきました。
    国家標準GB/T 35273-2017が2018年5月1日から施行されました。7月にはさらにいくつかのインターネット情報安全関連の資料が施行されるようです。
    GDPRに続いてモニターが必要な領域です。

    WP29のDPOのガイドライン(WP243 rev.01)の続きです。
    (このブログではコメント機能はつけていませんが、ご質問等ございましたらメールにてお問い合わせください。)

    今日は3 Position of the DPO (DPOの地位)のうち、
    3.3 Instructions and “performing their duties and tasks in an independent manner”(指示についてと「独立してDPOの責務と業務の執行すること」)を見ていきます。


    DPOは組織の中で十分な独立性を保ちつつ業務を行える必要があります。
    GDPRの第38条(3)はDPOの独立性を保証しています。特に「業務の執行に当たってDPOは(管理者、処理者の)介入(指示)を一切受けない」状態を確実なものとするように求めています。前文97ではこれに加えて次のように述べています。
    「DPOが従業員であるかを問わず、DPOは独立した方法で責務と業務を執行する地位でなければならない。」

    これはつまり、GDPRの第39条で規定されているDPOの業務を行ううえで、達成すべきこと、対応状況をどのように調査するか、監督機関に相談すべきか、といった実務上の手法について指示されることがあってはならない、ということです。データ保護法についての特定の解釈を持つ等、データ保護法に関するある特定の立場をとるように指示されるということがあってもいけません。

    DPOは高い独立性を持った存在ですが、第39条に規定された業務を超えて意思決定を行う権限は持っていません。

    データ保護法の遵守は管理者、処理者の責任ですし、適法性を証明するのも彼らの責務です。
    GDPRに準拠しない決断やDPOのアドバイスと異なる決定を管理者、処理者が行った場合、DPOは役員レベルのスタッフに同意できない旨を直接伝えることができ、また、そのような決定を行った存在に対しても同様のことができます。第38条(3)で「管理者、処理者の役員レベルのスタッフに直接報告可能である」というのは、上記の目的のためです。

    直接報告可能であることによって、シニア・マネジメントはDPOの助言やDPOが何を推奨しているかについて認識可能となります。
    「DPOの活動についての年次報告」もシニア・マネジメントへ直接報告するケースの一例です。