GDPR対策は個人情報の暗号化から：GDPR初歩の初歩（2）

EUの新しい個人情報保護規制「GDPR」には域外適用の規定があり、多くの日本企業が規制対象となります。規制に対応するには個人情報の暗号化が第一歩。3つのステップに従って暗号化を検討する必要があります。

» 2017年12月14日 05時00分公開

[中村久春，ジェムアルト]

個人情報暗号化管理の3つのステップ

　前回は、GDPR（General Data Protection Regulation、一般データ保護規則）の施行によって、幅広い日本企業にも影響が及ぶことを紹介しました。

　GDPRの規制に対応するためには個人情報の暗号化が有効です。ではどのような考え方に従って暗号化を進めれば良いのか。今回は3つのステップに沿って個人情報を暗号化管理する手順を紹介します（図1）。

図1　個人情報暗号化管理の3ステップ

守るべきデータの棚卸し

　まずデータの棚卸しについて考えます。管理すべき個人情報が、どこにどのように保存されているのか、調査・検討しなければなりません。

どこ（どのような媒体、どのストレージ／サーバ／データセンター／クラウド）にデータがあるのか？
誰がそのデータにアクセスできるのか？
誰がそのデータを共有しているのか？
どのアプリケーションがそのデータを処理するのか？

　例えば、「忘れられる権利」に基づいて、「私の個人情報を消してほしい」という要求があった場合に、少なくともこの4点を把握していないと、対応できないでしょう。

　棚卸しが進めば、何が重要なデータなのか、そしてそのデータを暗号化するにはファイル単位が適切なのか、DB単位なのか、DBのカラム単位なのか、アプリケーション単位か……というように対策を選別しやすくなります。場合によっては、廃棄すべきだったデータが見つかるかもしれません。

暗号鍵の管理

　暗号鍵管理と暗号化は、表裏一体です。よく使われるたとえ話があります。家中に錠前を付けても鍵を郵便受けに入れているようでは、結局鍵を掛けていないのと同じことです。さらに鍵を紛失するとドアはもう開きません。

　データを暗号化する場合、暗号化そのもの以上に鍵が大切になるのです。

　情報システム上で暗号鍵を管理する際、次のような3つの懸念点があります。

暗号鍵の数が多い
暗号方式が複数存在している
暗号鍵の世代管理が必要

　暗号鍵の管理が難しい理由とは、この3つの懸念点全てを解決しなければならないことです。

　暗号鍵管理には多様な手法があります。例えば「ハードウェアセキュリティモジュール」（HSM）があります。HSMは、暗号鍵を管理する専用ハードウェアで、暗号化と暗号鍵の厳格な管理、ライフサイクル管理を考慮したハードウェアアプライアンスです。

　HSMには、次のような3つの特徴があります。

暗号化／復号処理をサーバのCPUを使わず、HSMで高速処理
暗号鍵生成から、配布、ローテーション、保管、失効、アーカイブまで、ライフサイクル管理を一元化
暗号鍵そのものを装置から出さない（鍵が流出する可能性が低い）

アクセス管理

　暗号化と暗号鍵管理を確立することで、たとえデータが漏えいしたとしてもデータは保護され続けます。

　しかし権限を持ったユーザーになりすまして、誰かがデータにアクセスすると、暗号データの復号を防ぐことができません。従ってデータやシステムにアクセスする際のユーザー認証と、権限に応じてデータ（システム）にアクセスを許可するアクセス管理が不可欠です。同時に、誰が、いつ、どのデータにアクセスしたかという履歴管理も必要になります。

　なりすまし防止対策としての二要素認証、生体認証の導入の他、最近ではワンタイムパスワードとシングルサインオン機能も含めたクラウドサービスが提供されており、従来よりも簡単にアクセス管理を導入できます（図2）。

図2　クラウドサービスによるアクセス管理（ジェムアルトSafeNet Authentication Service）

日本のITエキスパートは、GDPRを自分の問題だと認識すべきだ

　GDPRはEU域内に閉じた規制ではなく、日本のような域外にも影響を及ぼし、対策が求められます。半年後に施行されるまでは、実際の運用がどの程度厳密なのか想定できないことは事実です。

　しかしEUにビジネスを展開している企業はもちろん、クラウドサービスやオンラインショッピングで海外からの注文を受けている企業も、規制の理解と対策の検討を進めなければならない時期が来ています。

　GDPRへの対応が本格化するにつれ、IT部門にさまざまな要求が届くことは想像に難くありません。まずは個人データを適切に暗号化して管理することによって、漏えいが発生してしまった場合の本人への通知義務が免除されること、さらに高額な制裁金を回避できる可能性が高くなることに注目すべきです。

　よそごとだとしてGDPRから目をそらしてしまうのは、危険です。むしろ、機密データの棚卸し、暗号鍵管理、アクセスコントロールというデータ保護の基本ステップに取り組み、社内データセキュリティ強化のきっかけであると、捉えるべきではないでしょうか。

GDPR対策以外にも役立つ暗号化

　機密データの暗号化は、GDPRへの対応策に限らず、情報漏えい対策として検討に値します。
　ジェムアルトの調査によれば、企業の28％は、過去1年の間に、社内ネットワークへの不正侵入を検知したことがあると回答しています。
　不正侵入防止対策はもちろん必要ですが、悪意のあるセキュリティ侵害の手口が巧妙化し件数も増大している今日、不正侵入は必ずあると想定し、多段的なセキュリティ対策を施すことが不可欠です。
　この調査によれば、機密データがどこに存在するのか、把握しきれていないと答えたITマネジャーが半数近く（46％）に上りました。
情報源：ジェムアルト、データ漏洩の深刻度を指標化した「2016年Breach Level Index」の結果を発表

筆者紹介

中村久春（なかむらひさはる）

ジェムアルト株式会社のアイデンティティ＆データプロテクション事業本部（旧セーフネットのビジネスを含むジェムアルトの企業向けセキュリィティビジネス）の本部長。HSM（ハードウェア・セキュリィティ・モジュール）と呼ばれる鍵管理製品やデータベースなどの機密情報の暗号化を行う製品、認証トークンやソリューション・サービスを国内のパートナーやユーザーに提供するエンタープライズ向けビジネスを統括。現職以前は、日本国内のICカード（クレジットカード、キャッシュカードなど）を中心とした金融機関向けのビジネスやモバイル決済サービス、エンタープライズ向けセキュリティ商品や政府系プロジェクト、オンラインバンキング向けのビジネスなどに従事。リージョナルセールスディレクターとして日本以外にもタイやベトナムなどアジア諸国の金融機関向けビジネスを統括した経験がある。ジェムアルト入社以前は、アメリカン・エキスプレス、インテルなどのグローバル企業においてさまざまな管理職の経験を積み、金融業界やIT関連業界の主要顧客との新規ビジネス開拓や関係強化に従事。米国アリゾナ州サンダーバード国際経営大学院（Thunderbird, School of Global Management）にて経営学修士号（MBA）を取得。