法務が知っておきたいデータセキュリティの基本

Transcript

1. 法務が知っておきたい データセキュリティの基本 2022/03/30 インハウスハブ東京法律事務所 弁護⼠ 世古修平 #legal_datasec 1

2. 講師紹介 世古修平（せこ しゅうへい） • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

   • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E #legal_datasec 2

3. データ セキュリティ？ #legal_datasec 3

4. よく⾒るベン図を再確認 出所：個⼈情報保護を巡る国内外の動向（個⼈データに関する個⼈の権利の在り⽅関係） （https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ） #legal_datasec 4

5. データ・DBに着⽬したルールですよね？ #legal_datasec 5

6. 【セミナーあるある】 中盤以降、急速に存在感が薄まっていく 序盤（定義など） 中盤以降（具体的なルール） #legal_datasec 6

7. 個情法解説 データ セキュリティ #legal_datasec 7

8. 【参考】 技術⼊⾨書を拾い読みしてみるのも⼀案 出所：https://www.shoeisha.co.jp/book/detail/9784798144450 https://gihyo.jp/book/2017/978-4-7741-9218-5 #legal_datasec 8

9. 本⽇ お伝え すること 【Why】 なぜ、「法務が」セキュリティを 知っておく必要があるのか 【What】 法務として、何を理解しておくべきか 【How】 法務として、どのように準備を

   進めれば良いか #legal_datasec 9

10. 本⽇ お伝え しないこと 法務以外の観点に基づく内容 「部分」を深掘りした内容 技術的正確性を最優先した内容* *「わかりやすさ」と「正確性」はある程度反⽐例の関係にあると考えています。本⽇は「わかりやすさ」を重視した内容になっていますが、 技術的に不誠実だと感じる部分がもしあればご指摘・アドバイスいただければ幸いです。 #legal_datasec 10

11. #legal_datasec #legal_datasec 11

12. Why なぜ、「法務が」セキュリティを知っておく必要があるのか #legal_datasec 12

13. 【理由1】 その⽇は突然やってくるから 攻撃者 X社 【X社での事例*】 *実際にあった事例を抽象化し、⼀部改変して記載 #legal_datasec 13

14. 【理由1】 その⽇は突然やってくるから 1か⽉ 16⽇ 2時間 着⽬いただきたい数字 攻撃者 X社 【X社での事例】 #legal_datasec

    14

15. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉ 16⽇ 2時間

    #legal_datasec 15

16. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉弱 1ヶ⽉ 16⽇

    2時間 #legal_datasec 16

17. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉弱 【個⼈情報保護委員会への報告】 法第

    26 条（第 1 項） 個⼈情報取扱事業者は、その取り扱う個⼈データの漏えい、滅失、毀損（中略）が⽣じた ときは、個⼈情報保護委員会規則で定めるところにより、当該事態が⽣じた旨を個⼈情報 保護委員会に報告しなければならない。 【確報】 規則第 8 条（第 2 項） 前項の場合において、個⼈情報取扱事業者は、当該事態を知った⽇から30 ⽇以内（当該事 態が前条第 3 号に定めるものである場合にあっては、60 ⽇以内）に、当該事態に関する前 項各号に定める事項を報告しなければならない。 1ヶ⽉ 16⽇ 2時間 #legal_datasec 17

18. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉ 16⽇ 2時間

    #legal_datasec 18

19. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 5/21 お詫びとお知らせ 1ヶ⽉ 16⽇ 2時間

    4/29 GW開始 5/5 GW終了 #legal_datasec 19

20. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 4/29 GW開始 5/5 GW終了 5/21

    お詫びとお知らせ 16⽇ 1ヶ⽉ 16⽇ 2時間 #legal_datasec 20

21. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 4/29 GW開始 5/5 GW終了 5/21

    お詫びとお知らせ 1ヶ⽉ 16⽇ 2時間 #legal_datasec 21

22. 【理由1】 その⽇は突然やってくるから 4/28 15時 意図されていない挙動が観測 4/29 GW開始 5/5 GW終了 5/21

    お詫びとお知らせ 4/28 17時 定時？ 2時間 1ヶ⽉ 16⽇ 2時間 #legal_datasec 22

23. 【理由1】 その⽇は突然やってくるから 明⽇ 15時 意図されていない挙動が観測 X/XX XX XXXX X/XX XX

    XXXX X/XX XX XXXX X/XX XX XXXX あなた？ #legal_datasec 23

24. 【理由2】 その⽇、法務には"沢⼭"仕事があるから #legal_datasec 24

25. 【ケーススタディ】 想像してみよう 2022年3⽉某⽇ q 攻撃者がGWA株式会社のシステムに攻撃を仕掛けた q 攻撃の結果、個⼈情報がインターネット上からアクセス可能な状態に なっていることが発覚した q この後、GWA株式会社は何をすべきでしょうか？

    攻撃者 GWA #legal_datasec 25

26. 【ケーススタディ】 パッと思いつくもの 原因究明 ⽌⾎作業 ユーザーへの謝罪 丁寧に説明をしよう 正確に事態を把握しよう 確実に被害を⾷い⽌めよう #legal_datasec 26

27. 【ケーススタディ】 実際には… 原因究明 ⽌⾎作業 ユーザーへの謝罪 ②社⻑の会⾒準備 ③記者の取材 ①官公庁への報告 ④取引先の⻤電 ⽉曜9時までに

    週明け早々に！ 今⽇の17時までに！！ 今すぐ！！！ 私は寝てないんだ… #legal_datasec 27

28. 【理由2】 その⽇、法務には"沢⼭"仕事があるから…？ ①官公庁への報告 ②社⻑の会⾒準備 ③記者の取材 ④取引先の⻤電 #legal_datasec 28

29. 法務は関係ない？ q 安⼼してください、各種作成・レビュー依頼が法務宛に”沢⼭”来ます ①官公庁への報告 官公庁への報告⽂書の作成・レビュー依頼 ②社⻑の会⾒準備 記者会⾒⽤FAQの作成・レビュー依頼 ③記者の取材 回答⽂案の作成・レビュー依頼 ④取引先の⻤電

    統⼀的なカンペの作成・レビュー依頼 #legal_datasec 29

30. 24/365 対応 休職者 出現 退職者 出現 規制 強化 退職者 増加

    その後 #legal_datasec 30

31. その⽇は突然やってくる q 知識があれば「理解」ができます q 理解ができれば「準備」ができます q 余裕がある今のうちに知識を得て「理解」をし、 今できる「準備」をしておきましょう #legal_datasec 31

32. What 法務として、何を「理解」しておくべきなのか #legal_datasec 32

33. 理解して おくべき 4つのこと （提案） ① 法律 • 個⼈情報の定義 ② ⾃社ルール

    • ルールの構造 ③ ⾃社データ • データフロー 平時 ④ 対応⼿順 有事 #legal_datasec 33

34. 定義、理解していますか？ q 多くの⼈が、個⼈情報保護法上の個⼈情報*の定義を理解していない q それぞれが「私の考えた最強の個⼈情報の定義」で戦っている ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 ⽒名は削除したので

    「匿名化」されています 公開情報なので 個⼈情報には 該当しないのでは toBの担当者情報なので 個⼈情報なんて ⼤袈裟なものではないかと 罪深い⾔葉 *以下、単に「個⼈情報」といいます。 #legal_datasec 34

35. 構造からざっくり理解しよう q 法務はいざという時、なにかと「説明」をすることを迫られる⽴場にある q 詳細はひとまずおき、構造からざっくりと理解するのは効率的な良い⽅法 ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 ポリシー

    スタンダード プロシージャ 組織 ⼈ 物理 技術 AC AU AT CM ... 特定 防御 検知 対応 復旧 #legal_datasec 35

36. できている状態を定義しよう ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 q 説明をする時、法務は「できていること」と「できていないこと」を分けて説明しなければいけない q 当然ながら… q

    できていることは、できている状態（標準的な状態）が定義されていないと把握できない q 残念ながら… q 法務が欲しい情報・必要な情報は、法務から動かないと⼿に⼊らない 取得 処理 移転 #legal_datasec 36

37. 対応⼿順の価値を理解しよう q ポジティブな理由 q いざという時は本当に時間がない q 脳のリソースを実質⾯に向けるためにも、形式⾯は事前に定めておくと皆が（⾔葉通り）救われる q ネガティブな理由 q

    私もあなたも、いざという時は「隠蔽したい」「矮⼩化したい」という誘惑にきっと駆られる q 仮に隠蔽・矮⼩化したくなったとしても、対応⼿順が制定されていればその⼿順に載せるだけ q 対応⼿順が制定されている、ということが不正の抑⽌⼒になり得る ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 【ポジティブな理由】 【ネガティブな理由】 #legal_datasec 37

38. How 法務として、どのように「準備」を進めれば良いのか #legal_datasec 38

39. 啓蒙活動に繋げよう q まずは、⾃分が「他⼈に説明できるレベル」で個⼈情報の定義を理解しよう q その上で、社内の啓蒙活動に繋げることができればいざという時困らない q 今⽇は後ほど、普段私が⽤いている⾮法務向けの研修資料の⼀部を使ってご説明 ①法律 ②⾃社ルール ③⾃社データ

    ④対応⼿順 【おまけ】 個⼈情報とは #legal_datasec 39

40. フレームワークを活⽤しよう q 構造を把握する上ではフレームワークが有⽤ q ガイドライン通則編（別添）、NIST SP800-53、ISO27000、Security Framework …etc q 構造を把握できると、⾜りていない部分が⾒えてくる

    q ⾜りていない部分を埋めるかどうかは、リスクとリソースに応じて決めたらいい q が、⾜りていない部分を埋めるためだけに、ただただ規程を量産するのはおすすめしない ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 ガイドライン通則編 NIST SP800-53 #legal_datasec 40

41. 5W1Hを把握しよう q 「取得」「処理」「移転」ごとに5W1Hを把握し、できている状態を定義しよう q 5W1Hは思考を発散させるためのとっかかりであり、漏れや重複を過度に気にしない ①法律 ②⾃社ルール ③⾃社データ ④対応⼿順 取得

    処理 移転 5W1H 5W1H 5W1H #legal_datasec 41

42. 【参考】体系的・発展的な取組み q より体型的・発展的に、データフローを把握した上でリスク分析までやりたい場合には Privacy Impact Asessment(PIA)という⼿法がある q 私が普段利⽤しているテンプレートも公開しているのでご興味あれば* ①法律 ②⾃社ルール

    ③⾃社データ ④対応⼿順 * https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f #legal_datasec 42

43. 他社のインシデントを活⽤しよう q 関係部⾨が多いため、計画段階からの巻き込みがないと本番で使えない（俺は聞いてないおじさん） q 他社でインシデントが起こった時は、皆の興味も会社のお⾦も集まりやすく⾮常に良い機会 q タイミングを⾒計らって、旗振り役になりそうな⼈に差し込んでみよう ①法律 ②⾃社ルール ③⾃社データ

    ④対応⼿順 攻撃者 GWA #legal_datasec 43

44. 【おまけ】 個⼈情報とは #legal_datasec 44

45. どこまでが個⼈情報？ q⽇常⽤語では、⽒名・性別・住所・電話番号などが個⼈情報の具体例とし て思い浮かびます q法律では、どこからどこまでが個⼈情報とされているのでしょうか？ ⽒名 性別 住所 電話番号 #legal_datasec 45

46. 法律に定義があります q読みにくい条⽂ですが、今⽇は⼀緒に読んでみましょう q「1号本⽂」「1号かっこがき」に分解して読んでみます 【個⼈情報保護法】 （定義） 第⼆条 この法律において「個⼈情報」とは、⽣存する個⼈に関する情報であって、 次の各号のいずれかに該当するものをいう。 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（略）により

    特定の個⼈を識別することができるもの （他の情報と容易に照合することができ、それにより特定の個⼈を識別することが できることとなるものを含む。） ⼆ （略） ⼀号かっこがき ⼀号本⽂ #legal_datasec 46

47. 1号本⽂を読んでみよう ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により 特定の個⼈を識別することができるもの ⼀号本⽂ ⼀号かっこがき GWA assist 申込フォーム お名前

    XXX 電話番号 XXX メール XXX 会社名 XXX 部⾨ XXX #legal_datasec 47

48. 応⽤編① ⼀号本⽂ ⼀号かっこがき GWA assist 申込フォーム お名前 XXX 電話番号 XXX

    メール XXX Q1 以前に利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により 特定の個⼈を識別することができるもの #legal_datasec 48

49. 応⽤編② 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001

    00002 00003 テーブルA ⼀号本⽂ ⼀号かっこがき GWA assist 申込フォーム お名前 XXX 電話番号 XXX メール XXX Q1 以前に利⽤したことがある Q2 ウ 【基礎情報】 【アンケート】 会社名 XXX 部⾨ XXX ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により 特定の個⼈を識別することができるもの #legal_datasec 49

50. 応⽤編③ 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 ⼀号本⽂ ⼀号かっこがき

    顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 ⼀ 当該情報に含まれる⽒名、⽣年⽉⽇その他の記述等（中略）により 特定の個⼈を識別することができるもの テーブルB テーブルA #legal_datasec 50

51. ⼀号かっこがきを読んでみよう （他の情報と容易に照合することができ、それにより特定の個⼈を 識別することができることとなるものを含む。） ⼀号本⽂ ⼀号かっこがき 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 他の情報と容易に照合 それにより特定の個⼈を識別 2 1 #legal_datasec 51

52. 応⽤編④ 委託 提供元（GWA） 提供先（委託先） ⼀号本⽂ ⼀号かっこがき 顧客ID アクセス履歴 利用履歴A 利用履歴B

    00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ（テーブルB）だけを委託先に渡して分析させたい。 委託先に渡すデータには「お名前」が含まれていませんし、個⼈情報（個⼈データ）とし て扱わなくて良いですよね？ #legal_datasec 52

53. 個⼈情報として扱う必要があります 出所：「個⼈情報の保護に関する法律についてのガイドライン（通則編）（案）」に関する意⾒募集結果 （ https://www.ppc.go.jp/files/pdf/2811_bessi2-1.pdf ） ⼀号本⽂ ⼀号かっこがき 委託 提供元（GWA） 提供先（委託先）

    顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ”当該情報の提供元である事業者において「他の情報と容易に照合することができ、 それにより特定の個⼈を識別することができることとなる」かどうかで判断します。” #legal_datasec 53

54. 応⽤編⑤ ⼀号本⽂ ⼀号かっこがき 漏えい 提供元（GWA） 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001

    00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 利⽤履歴データ（テーブルB）だけが漏えいしてしまいまった。 漏えいしたデータには「お名前」が含まれていませんし、個⼈情報（個⼈データ）の 漏えいとして扱わなくて良いですよね？ #legal_datasec 54

55. 残念ながら同様に… 出所：「個⼈情報の保護に関する法律についてのガイドライン（通則編）の⼀部を改正する告⽰案」に関する意⾒募集結果 （ https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 ） ⼀号本⽂ ⼀号かっこがき 漏えい 提供元（GWA） 顧客ID

    アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB ”対象となった情報が個⼈データに該当するかどうかは、 当該個⼈データを漏えい等した個⼈情報取扱事業者を基準に考えることになります。” 顧客ID アクセス履歴 利用履歴A 利用履歴B 00001 00002 00003 テーブルB 顧客ID お名前 電話番号 メール 会社名 部門 Q1 Q2 00001 00002 00003 テーブルA #legal_datasec 55

56. 結論：個⼈情報の範囲はとても広い q⽇常⽤語の個⼈情報と違って、法律⽤語の個⼈情報は範囲がとても広い q顧客IDに紐づく情報は、基本的に全て個⼈情報だと思って対応することを推奨します #legal_datasec 56

57. まとめ #legal_datasec 57

58. どこから... #legal_datasec 58

59. 定⽯通り、優先順位を付けましょう q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 59

60. ...データフローそんな⼤事？ q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 60

61. 皆データフローとか把握してるの？ q Q1:実際、皆データフローとか把握してるの？ Ø A1:しっかり把握できている企業はあまり多くない印象です q Q2:だったら、やってもやらなくても良いんじゃないの？ Ø A2:明後⽇から施⾏される改正個⼈情報保護法の、越境移転まわりが博打（神頼み）になります q

    Q3:バレます？ Ø A3:典型的には「委託先チェックシート」や「⼤⼿取引先からの問い合わせ」でバレます 取得 処理 移転 #legal_datasec 61

62. 越境移転を駆け⾜で 取得 処理 移転 個⼈情報取扱事業者は、外国（中略）にある第三者（中略）に個⼈データを提供する場合には、前条 第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同 意を得なければならない。

    個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、（中略）当該外国に おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本 ⼈に参考となるべき情報を当該本⼈に提供しなければならない。 #legal_datasec 62

63. 「情報を...提供」のための前提条件 個人情報の定義 1 提供元基準 2 データフロー 3 前提条件 取得 処理

    移転 個⼈情報取扱事業者は、外国（中略）にある第三者（中略）に個⼈データを提供する場合には、前条 第 1 項各号に掲げる場合を除くほか、あらかじめ 外国にある第三者への提供を認める旨の本⼈の同 意を得なければならない。 個⼈情報取扱事業者は、前項の規定により本⼈の同意を得ようとする場合には、（中略）当該外国に おける個⼈情報の保護に関する制度、当該第三者が講ずる個⼈情報の保護のための措置その他当該本 ⼈に参考となるべき情報を当該本⼈に提供しなければならない。 #legal_datasec 63

64. 定⽯通り、優先順位を付けましょう q 現状、違法な取組みがなされている可能性があるもの Ø 個⼈情報の定義の啓蒙 Ø データフローの把握 優先度 ⾼ q

    いざという時、違法⾏為の抑⽌に繋がるもの Ø 対応⼿順の策定 優先度 中 q いざという時、皆さんの理解を助けてくれるもの Ø 規程の理解 優先度 低 #legal_datasec 64

65. ご相談 お待ちしています！ インハウスハブ東京法律事務所 世古修平（せこしゅうへい） Twitter：@seko_law Mail：[email protected] #legal_datasec 65