SEO対策

GDPR(欧州一般データ保護規則)が要求するサイバーセキュリティの要件とその対策

marketing
marketing
2019/02/19 00:05

GDPRでは匿名化・仮名化を含む個人情報の保護が求められる

GDPR(欧州データ一般保護規則)は個人情報の保護を目的としています。個人情報の保護には、悪意のある攻撃や意図しない不正利用からデータを守るため、サイバーセキュリティの対策が必須です。セキュリティ・リスク評価、脆弱性診断、バックアップとリカバリー、事業継続性対策といった施策が欠かせません。

GDPRではデータの匿名化・仮名化を重要な要件としています。氏名やメールアドレスといった個人を特定できるのが個人情報です。匿名化では、個人を特定できないよう、データに処理を施します。「鈴木」も「田中」も全て「AAA」といった文字列に変換してしまい、二度と個人が特定できないようにします。匿名化を施したデータは、個人情報に含まれず、GDPRの対象外になります。

一方で、仮名化では処理を施した後でも、もう一度、個人データに戻せるのが特徴です。「鈴木」は「AAA」、「田中」は「BBB」のように割り振っておけば、その組み合わせを管理できます。データをインターネット上で移動させたり、データベース上で長期間保存したりするときは仮名に変えておき、必要なときにだけ、実名に戻す使い方が考えられます。

ISO27001情報セキュリティ管理システムの準拠が推奨される

GDPRは情報セキュリティに対策をとることを要求しており、ISO27001(情報セキュリティ・マネジメント・システム)の業界標準への準拠が推奨されています。ISO27001は情報セキュリティに関する方針・業務手順書を策定し、PDCAサイクルを回してセキュリティに関する有効性を評価・改善していくプロセスです。国際規格であるISO27001は、外部監査機関によって認証されます。

情報セキュリティでは「機密性」「完全性」「可用性」が重要な要件とされています。機密性とは、悪意のある利用や人的ミスを防ぐためのアクセス権設定が一例です。必要な人員だけが適切な情報を閲覧・利用できるようにします。「完全性」は意図しない情報の変更を防ぐ、改ざん防止策やウィルス検出ソフトの導入が含まれます。また、「可用性」は必要な時に情報を利用できるよう、バックアップやリカバリーの仕組みを導入し、データの利用を担保します。

GDPRでは情報セキュリティに関するリスク分析が求められます。例えば、インターネット上にWebサービスを公開しているのであれば、不正ログイン等のリスクがあります。また、社員が情報端末からユーザーの個人情報を入力している場合、情報の持ち出しや、情報端末のウィルス感染といったリスクが考えられるでしょう。リスク分析では、その脅威の大きさと発生確率を評価します。リスクに応じて回避・低減・共有・受容といった対策を講じます。

クラウド環境へのサイバー攻撃やビジネスメール詐欺等のリスクが高まる

サイバーセキュリティは攻撃者との「いたちごっこ」の様相を呈しています。セキュリティ技術が向上していく一方で、サイバー攻撃も高度化が進んでいるのです。クラウド環境では様々なサイバー対策がとられていますが、攻撃者もクラウド環境やIoT機器を標的としていると言われています。

個人の行動データが金脈と言われる中、あらゆるデータがサイバー攻撃の対象となってしまいました。仮想通貨交換所、金融機関、医療機関等が損害を被っています。東京五輪など注目の高いイベントに関連して、サイバー攻撃が行われる可能性さえあります。

サイバーセキュリティは全社的な取り組みであり、誰でもリスクにさらされています。通常のメールだと思って受け取ったものが、ビジネスメール詐欺だったという事例も報告されました。JALでは取引先を装ったメールにより約3億8000万円を騙し取られたと報じられています。また、ウィルス感染したパソコンやデータを使用不可な状態にし、身代金を要求するランサムウェアという被害も増えています。技術的な対策はもちろん、適切な行動を取れるよう従業員教育を実施する必要があります。

まとめ

GDPRは個人情報を保護するため、情報セキュリティへの対策が必須となっています。機密性・完全性・可用性を保つよう、匿名化・仮名化といった処理を導入したり、リスク分析・評価を実施したりといった施策が求められます。クラウド環境を標的にしたサイバー攻撃やビジネスメール詐欺を含めたセキュリティリスクが高まる中、どのような企業でもセキュリティ対策は欠かせないものになっています。

わかるページ解析を

Google Analytics・Search Consoleから
わかりやすいPowerPoint・Excelレポートを生成

report
HOMEKOBITブログWEBマーケティングSEO対策GDPR(欧州一般データ保護規則)が要求するサイバーセキュリティの要件とその対策