Upgrade to Pro — share decks privately, control downloads, hide ads and more …

法務が知っておきたいデータセキュリティの基本

 法務が知っておきたいデータセキュリティの基本

2022/03/30にGVA TECH株式会社で実施した、セミナーの登壇資料です。

【セミナー動画】
https://vimeo.com/693847817/d1a671b075
【Webサイト】
https://www.seko-law.info/

SEKO_Shuhei

March 30, 2022
Tweet

More Decks by SEKO_Shuhei

Other Decks in Business

Transcript

  1. 講師紹介 世古修平(せこ しゅうへい) • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

    • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E #legal_datasec 2
  2. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉弱 【個⼈情報保護委員会への報告】 法第

    26 条(第 1 項) 個⼈情報取扱事業者は、その取り扱う個⼈データの漏えい、滅失、毀損(中略)が⽣じた ときは、個⼈情報保護委員会規則で定めるところにより、当該事態が⽣じた旨を個⼈情報 保護委員会に報告しなければならない。 【確報】 規則第 8 条(第 2 項) 前項の場合において、個⼈情報取扱事業者は、当該事態を知った⽇から30 ⽇以内(当該事 態が前条第 3 号に定めるものである場合にあっては、60 ⽇以内)に、当該事態に関する前 項各号に定める事項を報告しなければならない。 1ヶ⽉ 16⽇ 2時間 #legal_datasec 17
  3. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 4/29 GW開始 5/5 GW終了 5/21

    お詫びとお知らせ 4/28 17時 定時? 2時間 1ヶ⽉ 16⽇ 2時間 #legal_datasec 22
  4. 理解して おくべき 4つのこと (提案) ① 法律 • 個⼈情報の定義 ② ⾃社ルール

    • ルールの構造 ③ ⾃社データ • データフロー 平時 ④ 対応⼿順 有事 #legal_datasec 33
  5. 定義、理解していますか? q 多くの⼈が、個⼈情報保護法上の個⼈情報*の定義を理解していない q それぞれが「私の考えた最強の個⼈情報の定義」で戦っている ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 ⽒名は削除したので

    「匿名化」されています 公開情報なので 個⼈情報には 該当しないのでは toBの担当者情報なので 個⼈情報なんて ⼤袈裟なものではないかと 罪深い⾔葉 *以下、単に「個⼈情報」といいます。 #legal_datasec 34
  6. できている状態を定義しよう ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 q 説明をする時、法務は「できていること」と「できていないこと」を分けて説明しなければいけない q 当然ながら… q

    できていることは、できている状態(標準的な状態)が定義されていないと把握できない q 残念ながら… q 法務が欲しい情報・必要な情報は、法務から動かないと⼿に⼊らない 取得 処理 移転 #legal_datasec 36
  7. 対応⼿順の価値を理解しよう q ポジティブな理由 q いざという時は本当に時間がない q 脳のリソースを実質⾯に向けるためにも、形式⾯は事前に定めておくと皆が(⾔葉通り)救われる q ネガティブな理由 q

    私もあなたも、いざという時は「隠蔽したい」「矮⼩化したい」という誘惑にきっと駆られる q 仮に隠蔽・矮⼩化したくなったとしても、対応⼿順が制定されていればその⼿順に載せるだけ q 対応⼿順が制定されている、ということが不正の抑⽌⼒になり得る ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 【ポジティブな理由】 【ネガティブな理由】 #legal_datasec 37
  8. フレームワークを活⽤しよう q 構造を把握する上ではフレームワークが有⽤ q ガイドライン通則編(別添)、NIST SP800-53、ISO27000、Security Framework …etc q 構造を把握できると、⾜りていない部分が⾒えてくる

    q ⾜りていない部分を埋めるかどうかは、リスクとリソースに応じて決めたらいい q が、⾜りていない部分を埋めるためだけに、ただただ規程を量産するのはおすすめしない ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 ガイドライン通則編 NIST SP800-53 #legal_datasec 40
  9. 応⽤編① ⼀号本⽂ ⼀号かっこがき GWA assist 申込フォーム お名前 XXX 電話番号 XXX

    メール XXX Q1 以前に利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により 特定の個⼈を識別することができるもの #legal_datasec 48
  10. 応⽤編② 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001

    00002 00003 テーブルA ⼀号本⽂ ⼀号かっこがき GWA assist 申込フォーム お名前 XXX 電話番号 XXX メール XXX Q1 以前に利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により 特定の個⼈を識別することができるもの #legal_datasec 49
  11. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により 特定の個⼈を識別することができるもの テーブルB テーブルA #legal_datasec 50
  12. ⼀号かっこがきを読んでみよう (他の情報と容易に照合することができ、それにより特定の個⼈を 識別することができることとなるものを含む。) ⼀号本⽂ ⼀号かっこがき 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 他の情報と容易に照合 それにより特定の個⼈を識別 2 1 #legal_datasec 51
  13. 応⽤編④ 委託 提供元(GWA) 提供先(委託先) ⼀号本⽂ ⼀号かっこがき 顧客ID アクセス履歴 利用履歴A 利用履歴B

    00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。 委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)とし て扱わなくて良いですよね? #legal_datasec 52
  14. 個⼈情報として扱う必要があります 出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果 ( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf ) ⼀号本⽂ ⼀号かっこがき 委託 提供元(GWA) 提供先(委託先)

    顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ”当該情報の提供元である事業者において「他の情報と容易に照合することができ、 それにより特定の個⼈を識別することができることとなる」かどうかで判断します。” #legal_datasec 53
  15. 応⽤編⑤ ⼀号本⽂ ⼀号かっこがき 漏えい 提供元(GWA) 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ(テーブルB)だけが漏えいしてしまいまった。 漏えいしたデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)の 漏えいとして扱わなくて良いですよね? #legal_datasec 54
  16. 残念ながら同様に… 出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)の⼀部を改正する告⽰案」に関する意⾒募集結果 ( https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 ) ⼀号本⽂ ⼀号かっこがき 漏えい 提供元(GWA) 顧客ID

    アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ”対象となった情報が個⼈データに該当するかどうかは、 当該個⼈データを漏えい等した個⼈情報取扱事業者を基準に考えることになります。” 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA #legal_datasec 55
  17. 定⽯通り、優先順位を付けましょう q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 59
  18. ...データフローそんな⼤事? q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 60
  19. 越境移転を駆け⾜で 取得 処理 移転 個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条 第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同 意を得なければならない。

    個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本 ⼈に参考となるべき情報を当該本⼈に提供しなければならない。 #legal_datasec 62
  20. 「情報を...提供」のための前提条件 個人情報の定義 1 提供元基準 2 データフロー 3 前提条件 取得 処理

    移転 個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条 第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同 意を得なければならない。 個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本 ⼈に参考となるべき情報を当該本⼈に提供しなければならない。 #legal_datasec 63
  21. 定⽯通り、優先順位を付けましょう q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 64