Slide 1
Slide 1 text
法務が知っておきたい
データセキュリティの基本
2022/03/30
インハウスハブ東京法律事務所
弁護⼠ 世古修平
#legal_datasec 1
Slide 2
Slide 2 text
講師紹介
世古修平(せこ しゅうへい)
• インハウスハブ東京法律事務所 弁護⼠
• インターネットサービス企業 Privacy Counsel
• IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員
• 経済産業省 電⼦商取引及び情報財取引等に関する準則
研究会委員
• 総合系のコンサルティングファーム2社を経て現職
• セキュリティ、プライバシー領域の案件を中⼼に活動中
• CISSP, CIPM, CIPP/E
#legal_datasec 2
Slide 3
Slide 3 text
データ
セキュリティ?
#legal_datasec 3
Slide 4
Slide 4 text
よく⾒るベン図を再確認
出所:個⼈情報保護を巡る国内外の動向(個⼈データに関する個⼈の権利の在り⽅関係)
(https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ) #legal_datasec 4
Slide 5
Slide 5 text
データ・DBに着⽬したルールですよね?
#legal_datasec 5
Slide 6
Slide 6 text
【セミナーあるある】
中盤以降、急速に存在感が薄まっていく
序盤(定義など) 中盤以降(具体的なルール)
#legal_datasec 6
Slide 7
Slide 7 text
個情法解説
データ
セキュリティ
#legal_datasec 7
Slide 8
Slide 8 text
【参考】
技術⼊⾨書を拾い読みしてみるのも⼀案
出所:https://www.shoeisha.co.jp/book/detail/9784798144450
https://gihyo.jp/book/2017/978-4-7741-9218-5 #legal_datasec 8
Slide 9
Slide 9 text
本⽇
お伝え
すること
【Why】
なぜ、「法務が」セキュリティを
知っておく必要があるのか
【What】
法務として、何を理解しておくべきか
【How】
法務として、どのように準備を
進めれば良いか
#legal_datasec 9
Slide 10
Slide 10 text
本⽇
お伝え
しないこと
法務以外の観点に基づく内容
「部分」を深掘りした内容
技術的正確性を最優先した内容*
*「わかりやすさ」と「正確性」はある程度反⽐例の関係にあると考えています。本⽇は「わかりやすさ」を重視した内容になっていますが、
技術的に不誠実だと感じる部分がもしあればご指摘・アドバイスいただければ幸いです。 #legal_datasec 10
Slide 11
Slide 11 text
#legal_datasec
#legal_datasec 11
Slide 12
Slide 12 text
Why
なぜ、「法務が」セキュリティを知っておく必要があるのか
#legal_datasec 12
Slide 13
Slide 13 text
【理由1】
その⽇は突然やってくるから
攻撃者 X社
【X社での事例*】
*実際にあった事例を抽象化し、⼀部改変して記載
#legal_datasec 13
Slide 14
Slide 14 text
【理由1】
その⽇は突然やってくるから
1か⽉
16⽇
2時間
着⽬いただきたい数字
攻撃者 X社
【X社での事例】
#legal_datasec 14
Slide 15
Slide 15 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
5/21
お詫びとお知らせ
1ヶ⽉
16⽇
2時間
#legal_datasec 15
Slide 16
Slide 16 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
5/21
お詫びとお知らせ
1ヶ⽉弱
1ヶ⽉
16⽇
2時間
#legal_datasec 16
Slide 17
Slide 17 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
5/21
お詫びとお知らせ
1ヶ⽉弱
【個⼈情報保護委員会への報告】
法第 26 条(第 1 項)
個⼈情報取扱事業者は、その取り扱う個⼈データの漏えい、滅失、毀損(中略)が⽣じた
ときは、個⼈情報保護委員会規則で定めるところにより、当該事態が⽣じた旨を個⼈情報
保護委員会に報告しなければならない。
【確報】
規則第 8 条(第 2 項)
前項の場合において、個⼈情報取扱事業者は、当該事態を知った⽇から30 ⽇以内(当該事
態が前条第 3 号に定めるものである場合にあっては、60 ⽇以内)に、当該事態に関する前
項各号に定める事項を報告しなければならない。
1ヶ⽉
16⽇
2時間
#legal_datasec 17
Slide 18
Slide 18 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
5/21
お詫びとお知らせ
1ヶ⽉
16⽇
2時間
#legal_datasec 18
Slide 19
Slide 19 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
5/21
お詫びとお知らせ
1ヶ⽉
16⽇
2時間
4/29
GW開始
5/5
GW終了
#legal_datasec 19
Slide 20
Slide 20 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
4/29
GW開始
5/5
GW終了
5/21
お詫びとお知らせ
16⽇
1ヶ⽉
16⽇
2時間
#legal_datasec 20
Slide 21
Slide 21 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
4/29
GW開始
5/5
GW終了
5/21
お詫びとお知らせ
1ヶ⽉
16⽇
2時間
#legal_datasec 21
Slide 22
Slide 22 text
【理由1】
その⽇は突然やってくるから
4/28 15時
意図されていない挙動が観測
4/29
GW開始
5/5
GW終了
5/21
お詫びとお知らせ
4/28 17時
定時?
2時間
1ヶ⽉
16⽇
2時間
#legal_datasec 22
Slide 23
Slide 23 text
【理由1】
その⽇は突然やってくるから
明⽇ 15時
意図されていない挙動が観測
X/XX XX
XXXX
X/XX XX
XXXX
X/XX XX
XXXX
X/XX XX
XXXX
あなた?
#legal_datasec 23
Slide 24
Slide 24 text
【理由2】
その⽇、法務には"沢⼭"仕事があるから
#legal_datasec 24
Slide 25
Slide 25 text
【ケーススタディ】
想像してみよう
2022年3⽉某⽇
q 攻撃者がGWA株式会社のシステムに攻撃を仕掛けた
q 攻撃の結果、個⼈情報がインターネット上からアクセス可能な状態に
なっていることが発覚した
q この後、GWA株式会社は何をすべきでしょうか?
攻撃者 GWA
#legal_datasec 25
Slide 26
Slide 26 text
【ケーススタディ】
パッと思いつくもの
原因究明
⽌⾎作業
ユーザーへの謝罪 丁寧に説明をしよう
正確に事態を把握しよう
確実に被害を⾷い⽌めよう
#legal_datasec 26
Slide 27
Slide 27 text
【ケーススタディ】
実際には…
原因究明
⽌⾎作業
ユーザーへの謝罪
②社⻑の会⾒準備
③記者の取材
①官公庁への報告
④取引先の⻤電
⽉曜9時までに
週明け早々に!
今⽇の17時までに!!
今すぐ!!!
私は寝てないんだ…
#legal_datasec 27
Slide 28
Slide 28 text
【理由2】
その⽇、法務には"沢⼭"仕事があるから…?
①官公庁への報告
②社⻑の会⾒準備
③記者の取材
④取引先の⻤電
#legal_datasec 28
Slide 29
Slide 29 text
法務は関係ない?
q 安⼼してください、各種作成・レビュー依頼が法務宛に”沢⼭”来ます
①官公庁への報告 官公庁への報告⽂書の作成・レビュー依頼
②社⻑の会⾒準備 記者会⾒⽤FAQの作成・レビュー依頼
③記者の取材 回答⽂案の作成・レビュー依頼
④取引先の⻤電 統⼀的なカンペの作成・レビュー依頼
#legal_datasec 29
Slide 30
Slide 30 text
24/365
対応
休職者
出現
退職者
出現
規制
強化
退職者
増加
その後
#legal_datasec 30
Slide 31
Slide 31 text
その⽇は突然やってくる
q 知識があれば「理解」ができます
q 理解ができれば「準備」ができます
q 余裕がある今のうちに知識を得て「理解」をし、
今できる「準備」をしておきましょう
#legal_datasec 31
Slide 32
Slide 32 text
What
法務として、何を「理解」しておくべきなのか
#legal_datasec 32
Slide 33
Slide 33 text
理解して
おくべき
4つのこと
(提案)
① 法律
• 個⼈情報の定義
② ⾃社ルール
• ルールの構造
③ ⾃社データ
• データフロー
平時
④ 対応⼿順
有事
#legal_datasec 33
Slide 34
Slide 34 text
定義、理解していますか?
q 多くの⼈が、個⼈情報保護法上の個⼈情報*の定義を理解していない
q それぞれが「私の考えた最強の個⼈情報の定義」で戦っている
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
⽒名は削除したので
「匿名化」されています
公開情報なので
個⼈情報には
該当しないのでは
toBの担当者情報なので
個⼈情報なんて
⼤袈裟なものではないかと
罪深い⾔葉
*以下、単に「個⼈情報」といいます。
#legal_datasec 34
Slide 35
Slide 35 text
構造からざっくり理解しよう
q 法務はいざという時、なにかと「説明」をすることを迫られる⽴場にある
q 詳細はひとまずおき、構造からざっくりと理解するのは効率的な良い⽅法
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
ポリシー
スタンダード
プロシージャ
組織
⼈
物理
技術
AC
AU
AT
CM
...
特定
防御
検知
対応
復旧
#legal_datasec 35
Slide 36
Slide 36 text
できている状態を定義しよう
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
q 説明をする時、法務は「できていること」と「できていないこと」を分けて説明しなければいけない
q 当然ながら…
q できていることは、できている状態(標準的な状態)が定義されていないと把握できない
q 残念ながら…
q 法務が欲しい情報・必要な情報は、法務から動かないと⼿に⼊らない
取得 処理 移転
#legal_datasec 36
Slide 37
Slide 37 text
対応⼿順の価値を理解しよう
q ポジティブな理由
q いざという時は本当に時間がない
q 脳のリソースを実質⾯に向けるためにも、形式⾯は事前に定めておくと皆が(⾔葉通り)救われる
q ネガティブな理由
q 私もあなたも、いざという時は「隠蔽したい」「矮⼩化したい」という誘惑にきっと駆られる
q 仮に隠蔽・矮⼩化したくなったとしても、対応⼿順が制定されていればその⼿順に載せるだけ
q 対応⼿順が制定されている、ということが不正の抑⽌⼒になり得る
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
【ポジティブな理由】 【ネガティブな理由】
#legal_datasec 37
Slide 38
Slide 38 text
How
法務として、どのように「準備」を進めれば良いのか
#legal_datasec 38
Slide 39
Slide 39 text
啓蒙活動に繋げよう
q まずは、⾃分が「他⼈に説明できるレベル」で個⼈情報の定義を理解しよう
q その上で、社内の啓蒙活動に繋げることができればいざという時困らない
q 今⽇は後ほど、普段私が⽤いている⾮法務向けの研修資料の⼀部を使ってご説明
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
【おまけ】
個⼈情報とは
#legal_datasec 39
Slide 40
Slide 40 text
フレームワークを活⽤しよう
q 構造を把握する上ではフレームワークが有⽤
q ガイドライン通則編(別添)、NIST SP800-53、ISO27000、Security Framework …etc
q 構造を把握できると、⾜りていない部分が⾒えてくる
q ⾜りていない部分を埋めるかどうかは、リスクとリソースに応じて決めたらいい
q が、⾜りていない部分を埋めるためだけに、ただただ規程を量産するのはおすすめしない
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
ガイドライン通則編 NIST SP800-53
#legal_datasec 40
Slide 41
Slide 41 text
5W1Hを把握しよう
q 「取得」「処理」「移転」ごとに5W1Hを把握し、できている状態を定義しよう
q 5W1Hは思考を発散させるためのとっかかりであり、漏れや重複を過度に気にしない
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
取得 処理 移転
5W1H 5W1H
5W1H
#legal_datasec 41
Slide 42
Slide 42 text
【参考】体系的・発展的な取組み
q より体型的・発展的に、データフローを把握した上でリスク分析までやりたい場合には
Privacy Impact Asessment(PIA)という⼿法がある
q 私が普段利⽤しているテンプレートも公開しているのでご興味あれば*
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
* https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f
#legal_datasec 42
Slide 43
Slide 43 text
他社のインシデントを活⽤しよう
q 関係部⾨が多いため、計画段階からの巻き込みがないと本番で使えない(俺は聞いてないおじさん)
q 他社でインシデントが起こった時は、皆の興味も会社のお⾦も集まりやすく⾮常に良い機会
q タイミングを⾒計らって、旗振り役になりそうな⼈に差し込んでみよう
①法律
②⾃社ルール
③⾃社データ
④対応⼿順
攻撃者 GWA
#legal_datasec 43
Slide 44
Slide 44 text
【おまけ】
個⼈情報とは
#legal_datasec 44
Slide 45
Slide 45 text
どこまでが個⼈情報?
q⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例とし
て思い浮かびます
q法律では、どこからどこまでが個⼈情報とされているのでしょうか?
⽒名 性別 住所 電話番号
#legal_datasec 45
Slide 46
Slide 46 text
法律に定義があります
q読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう
q「1号本⽂」「1号かっこがき」に分解して読んでみます
【個⼈情報保護法】
(定義)
第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、
次の各号のいずれかに該当するものをいう。
⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により
特定の個⼈を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個⼈を識別することが
できることとなるものを含む。)
⼆ (略)
⼀号かっこがき
⼀号本⽂
#legal_datasec 46
Slide 47
Slide 47 text
1号本⽂を読んでみよう
⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
特定の個⼈を識別することができるもの
⼀号本⽂
⼀号かっこがき
GWA assist 申込フォーム
お名前 XXX
電話番号 XXX
メール XXX
会社名 XXX
部⾨ XXX
#legal_datasec 47
Slide 48
Slide 48 text
応⽤編① ⼀号本⽂
⼀号かっこがき
GWA assist 申込フォーム
お名前 XXX
電話番号 XXX
メール XXX
Q1 以前に利⽤したことがある
Q2 ウ
【基礎情報】
【アンケート】
会社名 XXX
部⾨ XXX
⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
特定の個⼈を識別することができるもの
#legal_datasec 48
Slide 49
Slide 49 text
応⽤編②
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
⼀号本⽂
⼀号かっこがき
GWA assist 申込フォーム
お名前 XXX
電話番号 XXX
メール XXX
Q1 以前に利⽤したことがある
Q2 ウ
【基礎情報】
【アンケート】
会社名 XXX
部⾨ XXX
⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
特定の個⼈を識別することができるもの
#legal_datasec 49
Slide 50
Slide 50 text
応⽤編③
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
⼀号本⽂
⼀号かっこがき
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により
特定の個⼈を識別することができるもの
テーブルB
テーブルA
#legal_datasec 50
Slide 51
Slide 51 text
⼀号かっこがきを読んでみよう
(他の情報と容易に照合することができ、それにより特定の個⼈を
識別することができることとなるものを含む。)
⼀号本⽂
⼀号かっこがき
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
他の情報と容易に照合
それにより特定の個⼈を識別
2
1
#legal_datasec 51
Slide 52
Slide 52 text
応⽤編④
委託
提供元(GWA) 提供先(委託先)
⼀号本⽂
⼀号かっこがき
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。
委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)とし
て扱わなくて良いですよね?
#legal_datasec 52
Slide 53
Slide 53 text
個⼈情報として扱う必要があります
出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果
( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf )
⼀号本⽂
⼀号かっこがき
委託
提供元(GWA) 提供先(委託先)
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
”当該情報の提供元である事業者において「他の情報と容易に照合することができ、
それにより特定の個⼈を識別することができることとなる」かどうかで判断します。”
#legal_datasec 53
Slide 54
Slide 54 text
応⽤編⑤ ⼀号本⽂
⼀号かっこがき
漏えい
提供元(GWA)
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
利⽤履歴データ(テーブルB)だけが漏えいしてしまいまった。
漏えいしたデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)の
漏えいとして扱わなくて良いですよね?
#legal_datasec 54
Slide 55
Slide 55 text
残念ながら同様に…
出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)の⼀部を改正する告⽰案」に関する意⾒募集結果
( https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 )
⼀号本⽂
⼀号かっこがき
漏えい
提供元(GWA)
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
”対象となった情報が個⼈データに該当するかどうかは、
当該個⼈データを漏えい等した個⼈情報取扱事業者を基準に考えることになります。”
顧客ID アクセス履歴 利用履歴A 利用履歴B
00001
00002
00003
テーブルB
顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2
00001
00002
00003
テーブルA
#legal_datasec 55
Slide 56
Slide 56 text
結論:個⼈情報の範囲はとても広い
q⽇常⽤語の個⼈情報と違って、法律⽤語の個⼈情報は範囲がとても広い
q顧客IDに紐づく情報は、基本的に全て個⼈情報だと思って対応することを推奨します
#legal_datasec 56
Slide 57
Slide 57 text
まとめ
#legal_datasec 57
Slide 58
Slide 58 text
どこから...
#legal_datasec 58
Slide 59
Slide 59 text
定⽯通り、優先順位を付けましょう
q 現状、違法な取組みがなされている可能性があるもの
Ø 個⼈情報の定義の啓蒙
Ø データフローの把握
優先度
⾼
q いざという時、違法⾏為の抑⽌に繋がるもの
Ø 対応⼿順の策定
優先度
中
q いざという時、皆さんの理解を助けてくれるもの
Ø 規程の理解
優先度
低
#legal_datasec 59
Slide 60
Slide 60 text
...データフローそんな⼤事?
q 現状、違法な取組みがなされている可能性があるもの
Ø 個⼈情報の定義の啓蒙
Ø データフローの把握
優先度
⾼
q いざという時、違法⾏為の抑⽌に繋がるもの
Ø 対応⼿順の策定
優先度
中
q いざという時、皆さんの理解を助けてくれるもの
Ø 規程の理解
優先度
低
#legal_datasec 60
Slide 61
Slide 61 text
皆データフローとか把握してるの?
q Q1:実際、皆データフローとか把握してるの?
Ø A1:しっかり把握できている企業はあまり多くない印象です
q Q2:だったら、やってもやらなくても良いんじゃないの?
Ø A2:明後⽇から施⾏される改正個⼈情報保護法の、越境移転まわりが博打(神頼み)になります
q Q3:バレます?
Ø A3:典型的には「委託先チェックシート」や「⼤⼿取引先からの問い合わせ」でバレます
取得 処理 移転
#legal_datasec 61
Slide 62
Slide 62 text
越境移転を駆け⾜で
取得 処理 移転
個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条
第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同
意を得なければならない。
個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に
おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本
⼈に参考となるべき情報を当該本⼈に提供しなければならない。
#legal_datasec 62
Slide 63
Slide 63 text
「情報を...提供」のための前提条件
個人情報の定義
1
提供元基準
2
データフロー
3
前提条件
取得 処理 移転
個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条
第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同
意を得なければならない。
個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国に
おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本
⼈に参考となるべき情報を当該本⼈に提供しなければならない。
#legal_datasec 63
Slide 64
Slide 64 text
定⽯通り、優先順位を付けましょう
q 現状、違法な取組みがなされている可能性があるもの
Ø 個⼈情報の定義の啓蒙
Ø データフローの把握
優先度
⾼
q いざという時、違法⾏為の抑⽌に繋がるもの
Ø 対応⼿順の策定
優先度
中
q いざという時、皆さんの理解を助けてくれるもの
Ø 規程の理解
優先度
低
#legal_datasec 64
Slide 65
Slide 65 text
ご相談
お待ちしています!
インハウスハブ東京法律事務所
世古修平(せこしゅうへい)
Twitter:@seko_law
Mail:[email protected]
#legal_datasec 65