経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

EU一般データ保護規則(GDPR)への対応は「検出」から「レポート」までの4フェーズで進める

個人情報を保護する目的で、欧州連合(EU)が制定した「一般データ保護規則」(General Data Protection Regulation=GDPR)が2018年5月25日に適用開始となる。欧州に拠点を持たない日本企業でも、EU域内で何らかのビジネスを展開していれば、適用対象に含まれる可能性が高いので、企業としての信頼性を高めるためにも対策を急ぎたい。後編となる今回は、マイクロソフトの担当者の話を基にGDPRへの対応策や、同社のソリューション例を紹介する。

前編でも説明した通り、GDPRは欧州で何らかのビジネスを展開していれば、適用対象に含まれる可能性が高い。日本の個人情報保護法に基づいて個人データの保護体制を整備していても、個人データの定義や法的要件の違いから大半の企業では新たな取り組みが必要になるだろう。

日本マイクロソフトの政策渉外・法務本部に在籍する弁護士の中島麻里氏は、「まずは自社が適用対象に含まれるかどうかを把握することが重要です。GDPRで定義している個人データを保有しているかを確認する取り組みを今すぐ始めるべきでしょう」と指摘する(個人データの定義は前編で解説)。規則の適用開始まですでに1年を切っているので適用対象であれば、対応へ向けてすぐにでも手を動かすべきだ。

「検出→管理→保護→レポート」のサイクルを回す

GDPRに対応するための取り組みを一言で表現すると「お客様のプライバシーを保護する体制を整備する」ことだ。マイクロソフト コーポレーションのエンタープライズサイバーセキュリティ グループに所属する山本明広氏は、「GDPRで求められるプライバシー保護を実現するには、3つの点を強化する必要があります」と説明する。具体的には(1)個人データの保存場所と使用方法に対する制御の強化、(2)透明性、記録保持、およびレポートを向上するためのデータ・ガバナンス・ツールの強化、(3)データ主体に制御力を提供し、合法的な処理を保証するデータ・ポリシーの強化――の3つが求められていると言う。

ただし、こうした要件を示されても、どこから手を付けていけばよいか思いつかないというのが、多くの企業の本音だろう。こうした企業に向けて、マイクロソフトでは「検出・管理・保護・レポート」という4つのフェーズで対応を進めていくことを提唱している。

「検出」とは、自社が保存しているデータのうちで個人の識別につながる個人データにあたるものを洗い出し、システム内のその保存場所を特定することだ。

「管理」とは、組織での個人データの使用方法とアクセス方法を管理すること。個人データの管理と使用に関するポリシーや関係者の役割および責務を定義する。さらに、適切に取り扱うためにデータを整理し、分類したのち適切なポリシーを適用する。

「保護」とは、情報流出などのインシデントから個人データを保護する対策をとること。外部の攻撃者から保護するセキュリティ対策と、システム侵害に備えた監視と検出の体制が求められる。

「レポート」とは、インシデントが発生した際に72時間以内に当局へレポートすることが可能な体制を整備すること。個人データのアクセスや使用、セキュリティ対策に関する記録の保持や、実際にレポートを提出する際に容易に出力可能なレポート機能が必要となる。

自社の価値を高める取り組みだと位置付ける

山本氏は、「こうした体制はひとたび築いたら終わりというわけではなく、検出からレポートまでのサイクルを定期的に回すことが重要です」と指摘する。なぜ、定期的に実行する必要があるのかというと、ビジネスの進展とともに保有する個人データの量や質、管理方法や使用方法が変わってくるからだ。

例えば、自社が販売している商品に変わりはなくても顧客が増えれば、それに伴って個人データも増える。個人データの量に変化がない場合でも、社内での使用方法や管理方法が変われば、社内対応の変更が必要となる可能性もある。新たなビジネスに参入すれば、新しい領域で個人データを管理することになるので、その部分には検出からレポートまでのフェーズを適用する必要がある。さらに、保持の必要がなくなった個人データを特定して廃棄することも求められる。新たにキャンペーンを実施する場合などでは、個人データの使用方法が変わる可能性もある。

法的対応という後ろ向きの姿勢では、定期的にサイクルを回すことは大きな負担だと感じるかもしれない。これに関して、中島氏は次のように提案する。

「お客様のプライバシーを保護することは信頼性の向上につながります。自社の価値を高める取り組みだと位置付ければ、コストではなく投資だと位置付けられるのではないでしょうか」

GDPRへの対応に向けてソリューションを強化

これら一連の取り組みには膨大な手間が必要だと考える企業も少なくないだろう。ただし、自社が導入しているソリューションによっては、この手間を大きく軽減できるケースもある。ソフトウエアやクラウドサービスのバージョンアップなどによって、GDPRに対応した機能が装備されることがあるからだ。こうした場合、自動的にGDPRの法的要件の一部が満たされるようになる。

マイクロソフトのソリューションも、すでにGDPRの法的要件に対応した機能を搭載したものも少なくない。もともとマイクロソフト製品にはセキュリティやプライバシー保護を支援するための機能が標準で製品に組み込まれているため、それらを組み合わせることによりお客様に必要な対策を提供することができる。例えば、Office 365では「検出」と「保護」に対応する機能として、「DLP(データ損失防止)」という機能を備えている。これはオンラインストレージ「OneDrive for Business」や電子メールサービス「Exchange Online」、コラボレーション基盤「SharePoint Online」など、さまざまな場所に存在する機密情報を自動的に識別した上で監視保護する機能だ。例えば、銀行口座が含まれるWord文書がSharePointに登録されると、そのファイルを自動的に識別してアクセス状況を監視し、管理者が許可していないアクセスを防ぐ。機密情報が含まれた電子メールの送信を防ぐことも可能だ。どのような情報をどう扱うかは、管理者が設定できる。

「管理」と「保護」に対応する「Azure Information Protection」というクラウドサービスもある。これは、文書や電子メールに対して自動的にラベルを付けて、そのラベルに基づいたアクセス制御を実現するサービスだ。管理者は、ラベルごとにアクセス制御に関するルールを設定できる。例えば、ある利用者がクレジットカード情報を含むWord文書を保存すると、そのファイルには「Credit Card」というラベルが付けられ、管理者が設定したアクセス制限が適用される。

「レポート」では、Office 365の「監査ログ」という機能が活用できる。この機能は、Office 365におけるすべての作業を対象に、ユーザーのアクティビティを監視する。すべてのアクティビティがログとして記録されるので、各ユーザーの振る舞いを後から追跡することが可能だ。例えば、OneDriveやSharePointへのファイルのアップロード、パスワードのリセットといったアクティビティを監査ログから検索できる。

このように、マイクロソフトの各ソリューションには「検出」から「レポート」までに相当する機能が実装されているので、Office 365やAzureを導入している企業であれば短期間・低コストでGDPRに対応できる。

マイクロソフトソリューションの一例 : Enterprise Mobility + Security

このほかにも、日本の顧客に向けてGDPR対応を支援する多様なサービスを提供する計画がある。マイクロソフトは、GDPRに関して世界4大監査法人の1つである米アーンスト・アンド・ヤングや大手コンサルティング会社である米アクセンチュアとパートナーシップを結んでおり、欧米ではGDPRに関するサービスを強化中だ。日本でも、近くGDPR対応のコンサルティングサービスを提供する予定だ。

自社で培ったノウハウをお客様にフィードバック

EUのお客様を含めて膨大な個人データを保有するマイクロソフト自身も、現在、社内システムのGDPR対応を進めているところだ。ただし、実際に対応を進めようとすると、法的要件を実装する際に判断が難しい部分が多々ある。現在、マイクロソフトは数百人規模で GDPR 対応体制を組み、こうした課題を1つずつクリアしながら 2018年5月の施行にむけて着々と準備を進めている段階にある。マイクロソフトに限らずどのような組織においても、実際にGDPRに対応しようとすると、具体的な実装への落とし込みの判断が難しい部分がでてくるであろう。マイクロソフトでは、自社の経験で培ったノウハウをソリューションやコンサルティングサービスを通して、顧客にフィードバックしていく予定である。

GDPRの実施細則などは、2018年5月の施行開始までに更新される可能性があります。このため本稿は2017年6月時点の情報を基にしています。また、本稿は一般的な情報を提供するものであり、法的助言の提供を目的とするものではありません。

【 Webセミナーのご案内 】GDPRに関してもっと詳しく知りたい方、必見です

※ 2017年8月18日(金)実施となります。終了後もレコーディング版にて視聴が可能です。

初めてでもわかる EU一般データ保護規則 (GDPR)
〜2018年春施行 ヨーロッパのデータ保護法への対応ポイントをわかりやすく解説!〜