2022/03/30にGVA TECH株式会社で実施した、セミナーの登壇資料です。
【セミナー動画】 https://vimeo.com/693847817/d1a671b075 【Webサイト】 https://www.seko-law.info/
法務が知っておきたいデータセキュリティの基本2022/03/30インハウスハブ東京法律事務所弁護⼠ 世古修平#legal_datasec 1
View Slide
講師紹介世古修平(せこ しゅうへい)• インハウスハブ東京法律事務所 弁護⼠• インターネットサービス企業 Privacy Counsel• IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員• 経済産業省 電⼦商取引及び情報財取引等に関する準則研究会委員• 総合系のコンサルティングファーム2社を経て現職• セキュリティ、プライバシー領域の案件を中⼼に活動中• CISSP, CIPM, CIPP/E#legal_datasec 2
データセキュリティ?#legal_datasec 3
よく⾒るベン図を再確認出所:個⼈情報保護を巡る国内外の動向(個⼈データに関する個⼈の権利の在り⽅関係)(https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ) #legal_datasec 4
データ・DBに着⽬したルールですよね?#legal_datasec 5
【セミナーあるある】中盤以降、急速に存在感が薄まっていく序盤(定義など) 中盤以降(具体的なルール)#legal_datasec 6
個情法解説データセキュリティ#legal_datasec 7
【参考】技術⼊⾨書を拾い読みしてみるのも⼀案出所:https://www.shoeisha.co.jp/book/detail/9784798144450https://gihyo.jp/book/2017/978-4-7741-9218-5 #legal_datasec 8
本⽇お伝えすること【Why】なぜ、「法務が」セキュリティを知っておく必要があるのか【What】法務として、何を理解しておくべきか【How】法務として、どのように準備を進めれば良いか#legal_datasec 9
本⽇お伝えしないこと法務以外の観点に基づく内容「部分」を深掘りした内容技術的正確性を最優先した内容**「わかりやすさ」と「正確性」はある程度反⽐例の関係にあると考えています。本⽇は「わかりやすさ」を重視した内容になっていますが、技術的に不誠実だと感じる部分がもしあればご指摘・アドバイスいただければ幸いです。 #legal_datasec 10
#legal_datasec#legal_datasec 11
Whyなぜ、「法務が」セキュリティを知っておく必要があるのか#legal_datasec 12
【理由1】その⽇は突然やってくるから攻撃者 X社【X社での事例*】*実際にあった事例を抽象化し、⼀部改変して記載#legal_datasec 13
【理由1】その⽇は突然やってくるから1か⽉16⽇2時間着⽬いただきたい数字攻撃者 X社【X社での事例】#legal_datasec 14
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測5/21お詫びとお知らせ1ヶ⽉16⽇2時間#legal_datasec 15
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測5/21お詫びとお知らせ1ヶ⽉弱1ヶ⽉16⽇2時間#legal_datasec 16
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測5/21お詫びとお知らせ1ヶ⽉弱【個⼈情報保護委員会への報告】法第 26 条(第 1 項)個⼈情報取扱事業者は、その取り扱う個⼈データの漏えい、滅失、毀損(中略)が⽣じたときは、個⼈情報保護委員会規則で定めるところにより、当該事態が⽣じた旨を個⼈情報保護委員会に報告しなければならない。【確報】規則第 8 条(第 2 項)前項の場合において、個⼈情報取扱事業者は、当該事態を知った⽇から30 ⽇以内(当該事態が前条第 3 号に定めるものである場合にあっては、60 ⽇以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。1ヶ⽉16⽇2時間#legal_datasec 17
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測5/21お詫びとお知らせ1ヶ⽉16⽇2時間#legal_datasec 18
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測5/21お詫びとお知らせ1ヶ⽉16⽇2時間4/29GW開始5/5GW終了#legal_datasec 19
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測4/29GW開始5/5GW終了5/21お詫びとお知らせ16⽇1ヶ⽉16⽇2時間#legal_datasec 20
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測4/29GW開始5/5GW終了5/21お詫びとお知らせ1ヶ⽉16⽇2時間#legal_datasec 21
【理由1】その⽇は突然やってくるから4/28 15時意図されていない挙動が観測4/29GW開始5/5GW終了5/21お詫びとお知らせ4/28 17時定時?2時間1ヶ⽉16⽇2時間#legal_datasec 22
【理由1】その⽇は突然やってくるから明⽇ 15時意図されていない挙動が観測X/XX XXXXXXX/XX XXXXXXX/XX XXXXXXX/XX XXXXXXあなた?#legal_datasec 23
【理由2】その⽇、法務には"沢⼭"仕事があるから#legal_datasec 24
【ケーススタディ】想像してみよう2022年3⽉某⽇q 攻撃者がGWA株式会社のシステムに攻撃を仕掛けたq 攻撃の結果、個⼈情報がインターネット上からアクセス可能な状態になっていることが発覚したq この後、GWA株式会社は何をすべきでしょうか?攻撃者 GWA#legal_datasec 25
【ケーススタディ】パッと思いつくもの原因究明⽌⾎作業ユーザーへの謝罪 丁寧に説明をしよう正確に事態を把握しよう確実に被害を⾷い⽌めよう#legal_datasec 26
【ケーススタディ】実際には…原因究明⽌⾎作業ユーザーへの謝罪②社⻑の会⾒準備③記者の取材①官公庁への報告④取引先の⻤電⽉曜9時までに週明け早々に!今⽇の17時までに!!今すぐ!!!私は寝てないんだ…#legal_datasec 27
【理由2】その⽇、法務には"沢⼭"仕事があるから…?①官公庁への報告②社⻑の会⾒準備③記者の取材④取引先の⻤電#legal_datasec 28
法務は関係ない?q 安⼼してください、各種作成・レビュー依頼が法務宛に”沢⼭”来ます①官公庁への報告 官公庁への報告⽂書の作成・レビュー依頼②社⻑の会⾒準備 記者会⾒⽤FAQの作成・レビュー依頼③記者の取材 回答⽂案の作成・レビュー依頼④取引先の⻤電 統⼀的なカンペの作成・レビュー依頼#legal_datasec 29
24/365対応休職者出現退職者出現規制強化退職者増加その後#legal_datasec 30
その⽇は突然やってくるq 知識があれば「理解」ができますq 理解ができれば「準備」ができますq 余裕がある今のうちに知識を得て「理解」をし、今できる「準備」をしておきましょう#legal_datasec 31
What法務として、何を「理解」しておくべきなのか#legal_datasec 32
理解しておくべき4つのこと(提案)① 法律• 個⼈情報の定義② ⾃社ルール• ルールの構造③ ⾃社データ• データフロー平時④ 対応⼿順有事#legal_datasec 33
定義、理解していますか?q 多くの⼈が、個⼈情報保護法上の個⼈情報*の定義を理解していないq それぞれが「私の考えた最強の個⼈情報の定義」で戦っている①法律②⾃社ルール③⾃社データ④対応⼿順⽒名は削除したので「匿名化」されています公開情報なので個⼈情報には該当しないのではtoBの担当者情報なので個⼈情報なんて⼤袈裟なものではないかと罪深い⾔葉*以下、単に「個⼈情報」といいます。#legal_datasec 34
構造からざっくり理解しようq 法務はいざという時、なにかと「説明」をすることを迫られる⽴場にあるq 詳細はひとまずおき、構造からざっくりと理解するのは効率的な良い⽅法①法律②⾃社ルール③⾃社データ④対応⼿順ポリシースタンダードプロシージャ組織⼈物理技術ACAUATCM...特定防御検知対応復旧#legal_datasec 35
できている状態を定義しよう①法律②⾃社ルール③⾃社データ④対応⼿順q 説明をする時、法務は「できていること」と「できていないこと」を分けて説明しなければいけないq 当然ながら…q できていることは、できている状態(標準的な状態)が定義されていないと把握できないq 残念ながら…q 法務が欲しい情報・必要な情報は、法務から動かないと⼿に⼊らない取得 処理 移転#legal_datasec 36
対応⼿順の価値を理解しようq ポジティブな理由q いざという時は本当に時間がないq 脳のリソースを実質⾯に向けるためにも、形式⾯は事前に定めておくと皆が(⾔葉通り)救われるq ネガティブな理由q 私もあなたも、いざという時は「隠蔽したい」「矮⼩化したい」という誘惑にきっと駆られるq 仮に隠蔽・矮⼩化したくなったとしても、対応⼿順が制定されていればその⼿順に載せるだけq 対応⼿順が制定されている、ということが不正の抑⽌⼒になり得る①法律②⾃社ルール③⾃社データ④対応⼿順【ポジティブな理由】 【ネガティブな理由】#legal_datasec 37
How法務として、どのように「準備」を進めれば良いのか#legal_datasec 38
啓蒙活動に繋げようq まずは、⾃分が「他⼈に説明できるレベル」で個⼈情報の定義を理解しようq その上で、社内の啓蒙活動に繋げることができればいざという時困らないq 今⽇は後ほど、普段私が⽤いている⾮法務向けの研修資料の⼀部を使ってご説明①法律②⾃社ルール③⾃社データ④対応⼿順【おまけ】個⼈情報とは#legal_datasec 39
フレームワークを活⽤しようq 構造を把握する上ではフレームワークが有⽤q ガイドライン通則編(別添)、NIST SP800-53、ISO27000、Security Framework …etcq 構造を把握できると、⾜りていない部分が⾒えてくるq ⾜りていない部分を埋めるかどうかは、リスクとリソースに応じて決めたらいいq が、⾜りていない部分を埋めるためだけに、ただただ規程を量産するのはおすすめしない①法律②⾃社ルール③⾃社データ④対応⼿順ガイドライン通則編 NIST SP800-53#legal_datasec 40
5W1Hを把握しようq 「取得」「処理」「移転」ごとに5W1Hを把握し、できている状態を定義しようq 5W1Hは思考を発散させるためのとっかかりであり、漏れや重複を過度に気にしない①法律②⾃社ルール③⾃社データ④対応⼿順取得 処理 移転5W1H 5W1H5W1H#legal_datasec 41
【参考】体系的・発展的な取組みq より体型的・発展的に、データフローを把握した上でリスク分析までやりたい場合にはPrivacy Impact Asessment(PIA)という⼿法があるq 私が普段利⽤しているテンプレートも公開しているのでご興味あれば*①法律②⾃社ルール③⾃社データ④対応⼿順* https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f#legal_datasec 42
他社のインシデントを活⽤しようq 関係部⾨が多いため、計画段階からの巻き込みがないと本番で使えない(俺は聞いてないおじさん)q 他社でインシデントが起こった時は、皆の興味も会社のお⾦も集まりやすく⾮常に良い機会q タイミングを⾒計らって、旗振り役になりそうな⼈に差し込んでみよう①法律②⾃社ルール③⾃社データ④対応⼿順攻撃者 GWA#legal_datasec 43
【おまけ】個⼈情報とは#legal_datasec 44
どこまでが個⼈情報?q⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例として思い浮かびますq法律では、どこからどこまでが個⼈情報とされているのでしょうか?⽒名 性別 住所 電話番号#legal_datasec 45
法律に定義がありますq読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょうq「1号本⽂」「1号かっこがき」に分解して読んでみます【個⼈情報保護法】(定義)第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、次の各号のいずれかに該当するものをいう。⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(略)により特定の個⼈を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼆ (略)⼀号かっこがき⼀号本⽂#legal_datasec 46
1号本⽂を読んでみよう⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの⼀号本⽂⼀号かっこがきGWA assist 申込フォームお名前 XXX電話番号 XXXメール XXX会社名 XXX部⾨ XXX#legal_datasec 47
応⽤編① ⼀号本⽂⼀号かっこがきGWA assist 申込フォームお名前 XXX電話番号 XXXメール XXXQ1 以前に利⽤したことがあるQ2 ウ【基礎情報】【アンケート】会社名 XXX部⾨ XXX⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの#legal_datasec 48
応⽤編②顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA⼀号本⽂⼀号かっこがきGWA assist 申込フォームお名前 XXX電話番号 XXXメール XXXQ1 以前に利⽤したことがあるQ2 ウ【基礎情報】【アンケート】会社名 XXX部⾨ XXX⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるもの#legal_datasec 49
応⽤編③顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003⼀号本⽂⼀号かっこがき顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等(中略)により特定の個⼈を識別することができるものテーブルBテーブルA#legal_datasec 50
⼀号かっこがきを読んでみよう(他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなるものを含む。)⼀号本⽂⼀号かっこがき顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA他の情報と容易に照合それにより特定の個⼈を識別21#legal_datasec 51
応⽤編④委託提供元(GWA) 提供先(委託先)⼀号本⽂⼀号かっこがき顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB利⽤履歴データ(テーブルB)だけを委託先に渡して分析させたい。委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)として扱わなくて良いですよね?#legal_datasec 52
個⼈情報として扱う必要があります出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意⾒募集結果( https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf )⼀号本⽂⼀号かっこがき委託提供元(GWA) 提供先(委託先)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB”当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個⼈を識別することができることとなる」かどうかで判断します。”#legal_datasec 53
応⽤編⑤ ⼀号本⽂⼀号かっこがき漏えい提供元(GWA)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB利⽤履歴データ(テーブルB)だけが漏えいしてしまいまった。漏えいしたデータには「お名前」が含まれていませんし、個⼈情報(個⼈データ)の漏えいとして扱わなくて良いですよね?#legal_datasec 54
残念ながら同様に…出所:「個⼈情報の保護に関する法律についてのガイドライン(通則編)の⼀部を改正する告⽰案」に関する意⾒募集結果( https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 )⼀号本⽂⼀号かっこがき漏えい提供元(GWA)顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB”対象となった情報が個⼈データに該当するかどうかは、当該個⼈データを漏えい等した個⼈情報取扱事業者を基準に考えることになります。”顧客ID アクセス履歴 利用履歴A 利用履歴B000010000200003テーブルB顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2000010000200003テーブルA#legal_datasec 55
結論:個⼈情報の範囲はとても広いq⽇常⽤語の個⼈情報と違って、法律⽤語の個⼈情報は範囲がとても広いq顧客IDに紐づく情報は、基本的に全て個⼈情報だと思って対応することを推奨します#legal_datasec 56
まとめ#legal_datasec 57
どこから...#legal_datasec 58
定⽯通り、優先順位を付けましょうq 現状、違法な取組みがなされている可能性があるものØ 個⼈情報の定義の啓蒙Ø データフローの把握優先度⾼q いざという時、違法⾏為の抑⽌に繋がるものØ 対応⼿順の策定優先度中q いざという時、皆さんの理解を助けてくれるものØ 規程の理解優先度低#legal_datasec 59
...データフローそんな⼤事?q 現状、違法な取組みがなされている可能性があるものØ 個⼈情報の定義の啓蒙Ø データフローの把握優先度⾼q いざという時、違法⾏為の抑⽌に繋がるものØ 対応⼿順の策定優先度中q いざという時、皆さんの理解を助けてくれるものØ 規程の理解優先度低#legal_datasec 60
皆データフローとか把握してるの?q Q1:実際、皆データフローとか把握してるの?Ø A1:しっかり把握できている企業はあまり多くない印象ですq Q2:だったら、やってもやらなくても良いんじゃないの?Ø A2:明後⽇から施⾏される改正個⼈情報保護法の、越境移転まわりが博打(神頼み)になりますq Q3:バレます?Ø A3:典型的には「委託先チェックシート」や「⼤⼿取引先からの問い合わせ」でバレます取得 処理 移転#legal_datasec 61
越境移転を駆け⾜で取得 処理 移転個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同意を得なければならない。個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国における個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本⼈に参考となるべき情報を当該本⼈に提供しなければならない。#legal_datasec 62
「情報を...提供」のための前提条件個人情報の定義1提供元基準2データフロー3前提条件取得 処理 移転個⼈情報取扱事業者は、外国(中略)にある第三者(中略)に個⼈データを提供する場合には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同意を得なければならない。個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、(中略)当該外国における個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本⼈に参考となるべき情報を当該本⼈に提供しなければならない。#legal_datasec 63
定⽯通り、優先順位を付けましょうq 現状、違法な取組みがなされている可能性があるものØ 個⼈情報の定義の啓蒙Ø データフローの把握優先度⾼q いざという時、違法⾏為の抑⽌に繋がるものØ 対応⼿順の策定優先度中q いざという時、皆さんの理解を助けてくれるものØ 規程の理解優先度低#legal_datasec 64
ご相談お待ちしています!インハウスハブ東京法律事務所世古修平(せこしゅうへい)Twitter:@seko_lawMail:[email protected]#legal_datasec 65
seko_shuhei
chuchuhiroshi
progmat
kenzzzzzy
t2auto
byard_recruit
davidbonilla
copilot
enechain
xtone
statsbox
otake
destraynor
searls
samanthasiow
lynnandtonic
lara
lemiorhan
jeffersonlam
andyhume
sstephenson
danielanewman
orderedlist
sonatard