EU一般データ保護規則（GDPR）遵守の考察（バックアップとストレージインフラ向け）

欧州連合（EU）域内に拠点を持つ企業や公共機関であれば、2018年5月25日に施行されるプライバシー規制「EU一般データ保護規則（GDPR）」について耳にしているはずです。EU域内に拠点を持たない企業には直接関係はないかもしれませんが、この新制度は、EU域内で業務を行い、EUの顧客と取引を行っている世界中のすべての企業に適用されます。

• サーベンス・オクスリー法（SOX法）のレンズを通してGDPRを理解する
• GDPRの一般用語
• GDPRにおける自身の立場を認識する
• プライバシー保護の障害を理解する
• 個人データの管理に対するデータ主体の要件
• バックアップとストレージのより広範なGDPR要件
• 結論

EU域内で営業する顧客またはパートナーがある場合、GDPRを迅速に理解し、対策を開始して規制遵守する必要があり、それを怠った場合、企業の営業活動に悪影響を及ぼす可能性がある深刻な経済的罰則に直面することになります。例えば、GDPRを遵守しなかったことで、１千万ユーロ、あるいは、当該企業の世界中の年間収益の2%のいずれか大きい方が罰金として適用されることを想像してください。

また、企業は、GDPR関連の担当者（いわゆるデータ保護責任者）の任命、すべてのセキュリティ違反インシデントの報告、およびEU域内に個人情報を物理的に保管することによってGDPRの継続的遵守を示す、多くの要件を満たす必要があります。後者は、EU域外の国が一人ひとりの市民のプライバシーに対して同等の高水準をもたず、またEU域外に保管された情報が諜報機関や犯罪組織の監視というより大きなリスクにさらされているというEUの懸念を反映するものです。

ある年代のIT従事者は、GDPRが提示する問題によって、2000年代初頭の米国のサーベンス・オクスリー法（SOX法）を思い出すかもしれません。GDPR同様、SOX法はあらゆる種類と規模の企業に課せられた新たな規制制度でした。これは米国がその国境内で事業を行う企業に対して一方的に課したものですが、世界中の企業に影響を波及させる巨大なマーケットを代表する法律でした。EUのGDPRと同様、米国は積極的な遵守スケジュールを策定し、厳重な罰金を伴う規制を施行しました。ちょうど今GDPRがそうしているように、SOX法は、その対象となる企業の間に、特に遵守コストに関して大きな混乱と不安をもたらしました。

別の見方をすると、2017年と2018年のIT従事者は、21世紀始めの従事者より気楽に構えています。例えば、今日の企業は、報告要件を支援するためのより先進的な技術にアクセスし、GDPR遵守に必要な方針、統制、および手続きがあることを当局に報告しています。ガバナンス、リスク管理、および遵守（GRC）統制のフレームワークが、この10年の間に大きく変化しており、ポリシーライフサイクル管理も同様です。部分的にはSOX法と1995年EUデータ保護条令のおかげで、企業はプライバシーの影響評価とデータアクセスガバナンスに関して、より良い状況把握を行っています。違反の監視、報告および緩和の先進的な自動化ツールのようなITセキュリティの新技術の出現も助けとなっています。

しかし、SOX法以降、GDPR遵守を複雑化する方向で世界も変化してきました。デジタルストレージは、スピード、容量、メディアの多様性（クラウドストレージを含む）および複雑性の面で大幅に増加しました。犯罪組織と国家の両方からのITセキュリティの脅威の世界は、大幅により巧妙かつ驚異的となっています。

データ保護とストレージに関連するGDPRを理解するために、以下の基本用語を把握することが有益でしょう。

• データ主体: 個人データで識別できるEU市民。これには、オンラインで購入する消費者、ヘルスケアシステムの患者、オンラインで政府サービスにアクセスする市民、ソーシャルメディアアプリケーションのユーザー、すなわち特定のサービスを利用するために個人情報を提供する個人が含まれます。
• コントローラー（管理者）: EU域内で事業を行う、またはEU域外で事業を行っているがEUの居住者と取引している企業。その例には、消費者からオンラインで注文、住所、支払いカード情報を受け取る企業、患者の記録を保持するヘルスケアプロバイダーなどが含まれます。 （あなたの会社がプロセッサーであるか、コントローラーであるかを見分けるには、次項を参照してください。）
• プロセッサー（処理者）: コントローラーに対してコントラクターとしてふるまうクラウドプロバイダーなどのビジネス。すわなち、別の企業が個人から機密情報を取得し、EU市民にサービスを提供します。その例には、アプリケーションのホスティング企業、ストレージのプロバイダー、およびバックアップのクラウドサービスプロバイダーなどが含まれます。
• 個人データ: 「特定済みまたは特定可能な自然人に関連する情報」。これは他の政府よりもEUによって広く定義されており、EU市民の名前、電子メールアドレス、ソーシャルメディア投稿、肉体的・生理学的・遺伝子的情報、医療情報、所在地、銀行の詳細情報、IPアドレス、Cookie（クッキー）、文化的アイデンティティなどを含みます。
• 忘れられる権利: 「個人情報を削除し、もはや処理できなくさせる」EU市民の権利。個人は、コントローラーのサーバーに保管されているすべての個人データの削除を要求することができます。この特定の問題には、あいまいな点が残っています。忘れられたいという要求には、バックアップのクリーンアップも必要ですか（テープのようなシリアルバックアップメディアでは問題になる可能性があります）？忘れられる権利の要求を行うことがアーカイブ実行と法的目的の点で企業の保持ポリシーと矛盾する場合どうなりますか？
• 個人データ違反: 「転送、保管または処理された個人データに対する偶発的または不法な破壊、紛失、改変、不正な開示、またはアクセスにつながるセキュリティ違反」 企業は、あらゆるセキュリティ違反インシデントについてそれを知ってから72時間以内に適切な監督当局に報告する必要があります。

GDPRにおける義務を理解するために、以下の3つの質問を検討することによって、自身のビジネスがコントローラーまたはプロセッサーとして機能しているのかどうかを判断する必要があります。

1. 1 EU住民の個人データを保管または処理しますか？
2. 2 個人データのどの項目を保管するか決定しますか？
3. 3 自分の管理下で保管されている個人データの使用方法を決定しますか？

質問１にのみ「はい」と回答した場合、GDPRの枠組みにおいてプロセッサーとしてのみ機能します。質問、1、2、3に「はい」と回答した場合はコントローラーです。

ストレージとバックアップをGDPRに準拠させなければならないコントローラーまたはプロセッサーとして、以下の質問も検討しなければなりません。

1. 管理下にある個人データのストレージの物理的な場所を特定できますか？個人データがEU域外も含めて世界中の複数の物理的場所に拡散する可能性のあるクラウドベースのバックアップを使用または提供している場合に、これは特に重要です。
2. 保管している個人データをどのように構築しますか？ストレージとファイルフォーマットの選択は、ユーザーの要求に応じて、個人データの特定項目を読み込む、変更する、または削除できるかどうかに密接に関係します。高速で効率的な検索をサポートするフォーマットは、これらの要求を大規模にサポートする際に特に貴重です。

個人データのプライバシー、完全性、アクセシビリティ、および消去を実証できるかどうかは、部分的にストレージ、バックアップ、および復元の障害に対して保護および修復できるかどうかにかかっています。障害は、3つの異なるカテゴリーに分類されます。

• 装置の故障: ディスクドライブ、ストレージ管理者、およびデータセンターの物理的な障害です。例: ハードディスクドライブが偶発的に磁界にさらされて、データが部分的に消去されてしまう。
• 論理的またはソフトの障害: 人的エラーによる障害です。例: バックアップ処理の実行中にファイルが偶発的に消去されたり、上書きされたりする。スクリプトやビジネスアプリケーションのバグまたはエラーによりファイルが偶発的に破損する。あるいはハードドライブのマスターブートレコードが偶発的に消去される。
• セキュリティ違反: ネットワーク、サーバー、アプリケーションおよびエンドポイントを含むITインフラに対する強制的で悪意ある攻撃による障害で、悪意あるインサイダー、オンライン犯罪者、敵対国などによるものです。例: 解読不能な暗号をハードドライブのコンテンツに適用し、復号キーの料金支払いをオンラインで要求する。

さまざまなバックアップ障害に対する保護、およびセキュリティ違反発生時のEU当局への報告に加えて、コントローラーには、管理する個人情報のユーザーに対して数多くの義務があります。コントローラーは、ユーザーに対して以下の事項を実施できなければなりません。

• 個人データを読み込み、編集する
• 個人データを直接、または簡単な要求に応じて容易に消去する
• 容易に判読できるフォーマットで個人データをエクスポートする

ユーザーの要求に従うのは、いつでも簡単というわけではありません。例えば、「メールボックスとそのコンテンツ全体を消去してください」というような明快な要求を処理するのは簡単ですが、「このオンラインフォーラムの私のコメントをすべて削除してください」というようなより複雑で漠然とした要求に従うのは簡単ではありません。

プロセッサーとして機能する企業は、追加の義務を果たす必要があります。これには以下のものが含まれます。

• サービスがGDPRの技術的、組織的要件を満たすことを十分に保証する。例えば、「機密性によるセキュリティ」についてのGDPR要件では、役割に基づくアクセスコントロールの実施を奨励し、権限のある人員だけが個人データの読み込み、変更、削除をできるよう規定されています。他の例としては、監査ログの実装があり、このログは、個人データに対するすべての処理活動の記録を作成してセキュリティ違反の捜査、開示に対応したり、GDPRの遵守を当局に示したりするために使用します。
• コントローラーの明示的な同意がない場合、プロセッサーとそのクライアント（コントローラー）間で結ばれたサービス契約の履行に下請け業者を使用しない
• サービス契約の終了時、相手側のクラウドおよび/またはITインフラからすべての個人データを削除し、その実行を証明するのに十分な証拠を提供する
• セキュリティ違反のインシデントを監督機関に報告する

EUは、コンプライアンスの遵守について真剣であり、コンプライアンスの遵守を証明できない場合、またはユーザーのプライバシーを保護するGDPR規則に明らかに違反した場合、深刻な経済的罰則を科すとしています。例えば、文書による記録の維持、さまざまな技術的組織的手段の実施、および/またはデータ保護官の任命などを怠った場合、違反した企業には、１千万ユーロ、あるいは、当該企業の世界中の年間収益の2%（いずれか大きいほう）の罰金が科せられる可能性があります。セキュリティ違反またはデータの持ち主の権利に違反した場合（例えば、許可なく個人データを紛失、削除した場合）、2千万ユーロあるいは当該企業の世界中の年間収益の4%（いずれか大きいほう）というさらに深刻な罰金が科せられる可能性があります。

ストレージまたはバックアップの領域でGDPRコンプライアンスを達成するには、プロセッサーとコントローラーの両方が、以下の技術要件を満たすインフラおよびサービスの実現に努めなければなりません。

• 個人データの保管場所の管理: コントローラーとプロセッサーは、個人データの保管場所については、次の場所に対し、厳格な管理を実施する必要があります: EU域内の施設、EU非加盟国の施設、または承認国候補の最終選考リストに残っている地域の施設。上記場所を超える個人データの移動を行う際は、GDPR規則当局の事前承認を受けなければならないとする厳格なクロスボーダー要件を満たす必要があります。
• データ暗号化: LAN - WAN間、およびクラウド内の移動と同様に、自身のエンドポイントに保管される個人データに強力な暗号化を施す必要があります。暗号化の処理は、データの持ち主を唯一の複合キー保持者として完全に自動化すべきです。
• 個人データを変更する能力: データの持ち主の要求に応じて個人データの複製、修正、および削除を容易に行えるようにする必要があります。
• 共通フォーマットでのデータのエクスポート: 個人データを容易に使用できる共通のフォーマットで（例えば、ZIPアーカイブ）エクスポートできるようにする必要があります。

コントローラーとプロセッサーにとっては、GDPRが明示的に要求していなくても、要件をサポートする際に次に示すような技術機能を実装すると便利な場合があります。

• バックアップ内の検索: 詳細なレベルでバックアップを検索できるようになると、データの持ち主のために必要な情報を検索するのが大幅に容易になります。
• バックアップからの高速復元: ストレージ装置障害、ソフトウェア問題、オペレーターによるエラーまたはセキュリティ違反（例えばランサムウェアの攻撃）などが発生した場合に、バックアップから個人データを迅速に復元できると、物理的または技術的インシデントの発生時、データの持ち主が個人データへアクセスする際に、それを保護する目的で設計されているGDPRの「処理のセキュリティ」要件に対する遵守姿勢を大幅に向上します。

同様に、プロセッサーとコントローラーは、ストレージとバックアップのインフラおよびサービスを選択する場合に以下のGDPR規則を考慮する必要があります。

• 国境を超えるデータ転送: EU域外へのデータ転送は、透明かつ安全でなけれがなりません。サービスプロバイダーは、データの持ち主の特定の要求に応じて、個人データの保管場所を特定できなければなりません。
• 違反の通知: セキュリティ違反が発生した場合、プロセッサーは、72時間以内に関係するすべてのコントローラーにそのリスクを通知する必要があります。特定の高リスクインシデントの場合には、コントローラーは違反インシデントを顧客に通知する必要があります。
• アクセス権: バックアップとストレージのインフラは、個人データが処理中であるかどうかについての情報をコントローラーから取得するというデータの持ち主の権利に対応する必要があります。コントローラーは、データの複製を無料で提供できなければなりません。バックアップファイルは、データの持ち主が常に利用可能でなければなりません。バックアップまたはストレージアカウント内の個人データはデータの持ち主の要求に応じて、かつデータの持ち主本人によって削除可能でなければなりません
• 忘れられる権利: 個人データが当初の目的に合わなくなった場合、データの持ち主は、コントローラーにその消去を要求できなければなりません。
• データポータビリティ: データの持ち主は異なるIT環境間で転送することによって、自己の目的のために個人データを取得、再利用できなければなりません。これを実現するには、容易に携行できるフォーマットで個人データをダウンロードできなければなりません。
• データ保護責任者: データ保護責任者はGDPRコンプライアンスに最終的な責任を負う被雇用者であり、公的機関または大規模組織（250人以上の従業員）において任命される必要があります。
• プライバシーバイデザイン: コントローラーとプロセッサーは、偽名化など、データ保護原則を実施するために設けられた技術上、組織上の適切な手段を実施する必要があります。

2018年5月25日のGDPR施行が近づいており、非遵守の罰則は、重大なものです。しかし、EU市民にサービスを提供するあらゆる企業、組織、およびサービスプロバイダーは、今対策を実施し、準備を整えることができます。GDPRの定める個人のプライバシー権が、1995年のデータ保護指令のような以前のプライバシー制度に比べていかに強化され、かつ範囲を広げているかを認識することから始めましょう。GDPRが作成した新用語に慣れ、フレームワークの大枠を理解してください。それから、自社の管理範囲内でプライバシーの保護手段をアップグレードし、またバックアップとストレージのインフラおよびサービスを改善して新要件に対応する活動を行うことでコンプライアンスの問題への取り組みを開始してください。

詳細については、以下を参照してください。

• IDCレポート
• ビジネス環境向けのバックアップとストレージ管理ソリューション