法令・基準への対応

DRM/IRMソリューションによるデータ単位での暗号化保護と利用権限の管理は、政府機関等から公表される各種の法令・ガイドラインに記載の推奨項目や要求事項の多くを満たす有効な対策となります。

改正個人情報保護法への対応

2020年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。全面施行は公布から2年以内とされており、法定刑の引き上げに関しては、2020年12月12日時点で既に施行されています。

今回の改正に伴い、以前は努力義務だった個人情報漏洩時の委員会への報告・本人への通知が義務化され、個人情報を取り扱う事業者はより厳しい情報管理を求められるようになりました。また、執行・罰則の強化により、不正行為などを行った法人企業は最大1億円以下の罰則が科せられます。

このように個人情報漏洩を起こした企業は被害者であると同時に必要な対策を施していなければ加害者として刑事罰の対象となります。それでは、どのように対策を行うべきでしょうか。

現行のガイドラインでは、個人データの漏えい等の事案が発生した場合等の対応について、個人データに高度な暗号化等の秘匿化が施されている場合、実質的には情報が外部へ漏洩されていないと判断されるため、委員会等への報告を要しないという旨の記載があります。

DataClasysによる暗号化はこの「高度な暗号化」に該当するため、DataClasysで暗号化されたファイルがもし漏洩した場合においても罰則の対象にはならないと考えられます。

昨今、テレワーク環境の整備が求められている中、テレワークに潜むセキュリティリスクへの対策の必要性にも注目されています。DataClasysはテレワークによって持ち出された機密情報ファイルの情報漏洩を防ぐことができます。

総務省テレワークセキュリティガイドラインへの対応

テレワーク導入を検討する上で欠かすことができないのがセキュリティ対策です。総務省からはテレワーク導入を検討している企業に向け、情報セキュリティ対策に関する検討の参考として「テレワークセキュリティガイドライン」を発行し、テレワークにおいて想定されるリスクとその対策について例示しています。

DataClasysは本ガイドライン(第4版)の中で例示されている対策の中でも、『情報の機密度に応じたレベル分けとアクセス制御、暗号化の要否や印刷可否などの設定』、端末の紛失・盗難への対策として『機密データの暗号化保存』、さらにパブリッククラウドを利用した場合に想定される漏洩リスク対策として『クラウドへファイルアップロード前の暗号化保護』などを実現することが可能です。

PCIDSSへの対応

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報を取り扱う事業者において、データを安全に取り扱うために策定されたセキュリティの国際統一基準です。

2018年6月1日に施行された「割賦販売法の一部を改正する法律」においてカード番号等の適切管理及び不正利用防止措置が義務付けられていますが、その実際の対応策としてカード情報の非保持化もしくはPCI DSSへの準拠が求められています。

PCI DSSは6つの項目、12の要件とそれに紐付く約400の要求事項で構成されており、対象となる範囲においてはすべての要件を遵守する必要があります。

DataClasysはマルウェアによる情報漏洩への対策、機密情報に対するアクセス制御や組織の定めたポリシーによる情報資産の管理を実現できることなどから、PCI DSS準拠に必要な要件を複数満たすことができ、このような理由からカード会社様に導入いただいた事例もございます。

GDPRへの対応

GDPRとは、General Data Protection Regulation(EU一般データ保護規則)の略称で、2016年4月に制定、2018年5月に施行されました。GDPRは日本のようにEU域外の国にある企業にも少なからず影響があり、例えば子会社や支店がEU域内に存在する企業やEU域内に所属する個人データを取り扱っている企業は個人データの取り扱いにGDPR要求事項全般もしくは一部が適用されます。

GDPRは違反時の制裁金が巨額となるため、GDPR遵守の対象となる企業は何らかの対応が必要となります。

主な要求事項の中で真っ先に手を付けるべき対策がデータの暗号化です。これにより、仮に何らかの理由から個人情報が漏洩しても第三者にファイルの中身は読み解けなくなります。またGDPRでは暗号化ファイルが漏洩しても本人への通知義務が免除されると言われているため、万が一事故が発生しても制裁金の支払いを免除されます。

データ暗号化は多くのセキュリティリスクへの対策となるため、GDPRへの対応策の一歩目として非常に有効と言えます。

教育情報セキュリティポリシーに関するガイドラインへの対応

2017年10月、文部科学省から「教育情報セキュリティポリシーガイドライン」が公表されました。今後、本ガイドラインに沿って学校独自のリスクに対応できる学校システムの構築が各自治体で進むものと思われます。

また「教育のICT化に向けた環境整備5か年計画(2018~2022年度)では、地方財政処置が講じられ、整備方針の目標として「セキュリティに関するソフトウェアについても整備」することが明記されています。

通常の企業とは異なり、学校には児童生徒が情報システムへアクセスしてしまう等といった独自のリスクに対応する必要があります。これらを防ぐため校務系と学習系、外部接続系のような3つのセグメントにネットワーク分離している組織も多くありますが、完全な分離は難しく、業務を遂行するためにはどうしても各ネットワーク間で機微情報を受け渡すことが必要になるケースも多くあります。

このようなシーンでは、校務データ等の機微情報を暗号化しておくことで安全性を確保したまま各ネットワーク間での受け渡しを行うことが可能となります。

また暗号化と同時にアクセス制御を行うことでデータに対する一般教職員からのアクセス制限や、生徒からのアクセスの禁止などを簡易に実行することが可能です。

地方公共団体における情報セキュリティポリシーに関するガイドラインへの対応

総務省による「地方公共団体における情報セキュリティポリシーに関するガイドライン」は自治体におけるセキュリティ対策の指針を示したものですが、現在(2020年12月)、本ガイドラインの見直しが進められています。2020年6月に公表された見直し案の中では、現行の三層分離モデル(αモデル)から、利便性や効率性を向上させるためLGWAN接続系に配置されていた業務端末と業務システムの一部(グループウェア)をインターネット接続系へ配置転換した新たな分離モデル(βモデル)を提示しています。

また働き方改革などを踏まえたテレワークの導入やクラウドサービスの利活用も同時に提示されていますが、これらの利便性向上のためにはセキュリティ対策の同時検討が必須となります。

見直し案の中でも情報資産単位でのアクセス制御が求められておりますが、このようなテレワークとβモデルのセキュリティリスクを同時解決できる対策として、DataClasysによるファイル暗号化と権限管理は非常に有効な対策となります。

政府情報システムにおけるクラウドサービスの利用に係る基本方針への対応

本ガイドライン「SaaS(パブリック・クラウド)の利用検討と利用方針」において、情報セキュリティ対策としてパブリッククラウドに格納する機微データは事前に暗号化する旨が記載されています。また、暗号化はクラウドサービス事業が提供する暗号化機能ではなく、ユーザ側で鍵管理が可能な暗号化を選ぶとも書かれています。これは仮にクラウドサービスが提供する暗号化機能を利用すると、サービス事業者側での事故や不正を防ぐことができないことが理由としてあげられます。

DataClasysによる暗号化は企業毎に独自に鍵管理が可能ですので、本方針に示された内容に沿った対策を行うことが可能です。