ベイカー&マッケンジー法律事務所とデトロイトトーマツの共著。米国・欧州のデータ・セキュリティに対する課題意識と対策の情勢・動向や関連法令の概要が分かりやすく丁寧に書かれている。GDPRや個人情報保護法については、基本的な知識がある中で理解を深めることに役立つ粒度の内容。欧米の具体的なセキュリティ基準、訴訟ホールドへの対応といった、これまで意義や課題すら認識していなかった分野についても、基本的な理解を得るには丁度良い難易度だったと思う。
以下、参考になった点のメモ。
◆アメリカにおけるNISTフレームワーク
・SP800シリーズ:アメリカ国立標準研究所(NIST)が発行するコンピュータセキュリティを扱うシリーズ。プラクティスガイドはSP1800シリーズ。
・SP800-53, SP800-171
SP800シリーズの技術体系の組み合わせで一定水準のセキュリティ機能実装を実現するべく開発。
53:2002年発令「Federal Information Security Management Act of 2002」記載の「連邦政府機関における情報システムの防衛方法に用いられる技術体系」として開発・発行。
171:2010年発令 米大統領令13556号記載の「米政府機関や一般企業の情報システム内に損じあするCUI(Controlled Unclassified Information)を保護するための技術体系」として開発、発行。
・米政府「SP800-53,171はサイバー攻撃に適切に対応している」という認識を普及させる取り組みあり。
・2011年、当時の米国最高情報責任者スティーブン・バンローケル氏が連邦政府機関で使用される情報システムはクラウドへ移行のうえ、NIST SP800-53に準拠する必要があるとした。
→FedRAMP (Federal Risk and Ahthorization Management Program)設立:クラウド製品・サービスの認証プロセス
→米政府機関のクラウド調達にあたっての条件に。
・NIST Cyber Sercurity Frameworkの5段階
特定:攻撃の対象(可能性のある)資産の特定
防御:事前に特定、攻撃前/時の情報システムの防御
検知:情報システム内部に侵入を許した際の事実検知
対応:侵入に対する正しい対応・感染/被害の拡大防止
復旧:被害の特定、適切な処置
*日本企業が理解しづらい思想として、「訴訟を前提とした徹底的なエビデンス収集と責任所在の追求、ログの収集」と「内部犯行を想定した情報システム内部と出口対策」が挙げられる。
・NIST CSF
Low低水準で満たす技術体系→SP800-171
Moderate適度で満たす技術体系→SP800-53
特定の特価領域の概念をふかしてHigh高水準で満たした技術体系→SP1800シリーズ
◆EUにおけるNIS指令
NIS Directive(2016年5月)の可決
ENISA(European Network and Information Secruty Agency)
*NISTと連携
◆日本のIT産業における現状
ISMS(Information Secruty Management System)はISO27001を基礎とするがSP800-53とSP800-171で項目数ベースでも大きな開きがある、
*ISMSの認証取得企業は世界の7割が日本企業
◆GDPR対応のポイントとNIS Drecitve(SP800シリーズ)との関係
・EEA域内で取得された個人データを域外に移動するすべての企業や機関に対して:
ーEEA域内の個人データを処理(収集・保管・変更・開示・閲覧・削除等)し、EEA域外に移動することを原則禁止
ーデータ保護オフィサー(DPO)を設置することを要求
ー情報漏洩の出どころと流出内容を72時間以内に公開、および当局への通知を義務付け
ーGDRPの要求事項に反した場合は、グループ年間売上高の4%、または2000万€(約23憶園)の罰金
→GDPR対応のため、事業者は、自己の他の取り扱いに関してルールを定め6つの説明責任を果たす必要がある。
①データ把握:データの内容と処理、移動について把握するため、データ・マッピング等の主導を検討
②取り扱い手順の策定:EEA域外移転のために、「明確な同意の取得」「拘束的企業準則」「標準契約」などの手段を検討
→定めたルールに沿った運用によって説明責任を達成
・適法性、公平性及び透明性、目的の限定、データの限定、正確性、保管の限定、完全性と機密性
* 「適切なセキュリティ確保」は、NIS Directiveの実質的な推奨フレームワークであるSP800シリーズへの準拠が判断を行う上で最低条件となることが推測。
◆個人情報保護の適切な取り扱い
・基本方針(ガイドライン)の策定
ー事業者の名称、関係法令・ガイドライン等の遵守、安全管理措置、質問および苦情処理の窓口
◆訴訟ホールド:一種の証拠保全手続き(法令上には明確な定義がない)
・意義:ディスカバリーの前提
米国訴訟では事実に即した裁判が行われることが重視される。それを担保するディスカバリーは日本の証拠開示手続きとは比べものにならないほど広範囲で強力。
◆現代の情報マネジメントとセキュリティ
ー日本企業のセキュリティ体制の課題
セキュリティの攻撃事例や手法などの情報シェアが不十分。そもそも共有すべき情報が何なのかがわかってない。
・日本の姿勢は、ISMS等の標準や基準への適合、認証取得を目指すといいう姿勢が挙げられる。
・本来サイバーセキュリティは自社だけでなく「消費者」「ユーザー」「関連企業」「関連産業」のために投資すべき領域。個社は利己ではなく利他の精神で、業界等何らかの単位でまとまって互いに支えあうことが求められる。
・攻撃者たちは、互いに支えあい大規模なサイバー攻撃を完遂する。防御側が個社でそれらに立ち向かうことに限界が存在することは当然。
・オンプレミスが多い現状。ただし、セキュリティ面では外部へ散財的にアクセスされるオンプレミスより、インターネットへの入り口が1つに集約されるクラウドの方がセキュリティを担保しやすい。
ーサイバー攻撃にはクラウド化で対策をする
米政府関係者「優秀なサイバーセキュリティ人材を、それらを欲するすべての企業に配置することは現実的ではない。であれば、そのような人材をクラウド業者に集約し、その中に情報も集約してしまった方が幾分か素晴らしい結果を生む」
クラウド化によるセキュリティ自給率の向上
そうでないと、日本の基幹産業の情報が、基準に準拠している海外クラウド業者の管理する情報システムに保管されることに・・・
自民党IT戦略特命委員会が提出し自民党与党案にもなった「デジタル・ニッポン2017」P72に「基本的な考え方:セキュリティファーストCROと組織的なルール形成戦略推進体制」。
ー出口戦略に注力する日本の姿勢は今後出口戦略を見据える必要あり
値引きあり5.0個人情報保護法、GDPR(EU一般データ保護規則)、NISTフレームワーク(米国)に対応する初の総合専門書 個人情報保護法、GDPR(EU一般データ保護規則)への対応は万全ですか? 日本企業は、情報漏えいリスク以外にも、数々の情報管理をめぐる国際的リスクにさらされている。 折しも、EUにおいては一般データ保護規則(GDPR)が2018年5月25日から適用開始され、日本企業であっても直接的・間接的にGDPRにおける義務、特に当局における監査などに対応できるような形での個人データの取り扱いの記録および保管の義務への対応が喫緊の課題となってきた。日本国内を見ても、2017年に改正された個人情報保護法の下で、個人情報の第三者提供に関するトレーサビリティ確保のための確認・記録義務への対応など、文書管理および情報管理の制度を確立することは、既にコンプライアンス上の重要な要請の一つとなっている。 企業内情報の管理にあたっては、個別的な対応では限界と不十分さがある。トップの管理の下、全社一貫したシステムに基づいて統一的な取り扱いをし、それを横断的に、どの法令もカバーできるように展開していく制度を確立することが必要であり、その能力こそが企業の情報管理力である。 本書においては、ベーカー&マッケンジー法律事務所が法的な観点から論点出しを行い、デロイト トーマツ コンサルティング合同会社 ・ デロイト トーマツ ファイナンシャルアドバイザリー合同会社が、より実務的な観点から企業に内在するその原因を深掘りし、ソリューションを提示したものである。