fbpx

GDPRの視点:GDPRに向けたプライバシーリスクの自動化

EUのGDPRの規制指令の一つに、リスクベースのプライバシー保護が新たに強調されています。しかし、GDPRでは何がプライバシーリスクを構成するかについて明確な定義はありません。同規則では、最もリスクの高い処理、つまり営利を目的とした大規模な処理と、仮名化を含むデータ保護の強化によってリスクを下げる方法を特定しているに過ぎません。データ処理がリスクの範囲内にあるかどうかを判断するには、部門を超えたコラボレーションと対応可能なリスクモデルが必要なだけでなく、組織が責任を負うすべての個人データとプライベートデータ、およびそのデータへのアクセスを明確に把握する必要があります。

序章

欧州連合(EU)の一般データ保護規則(GDPR)では、データ主体の権利が強調されており、消費者は企業がデータを収集した後も法的な権利を持ち、データにアクセスできるようになっています。

リスクという概念は同規則の構造にとって非常に重要であり、現行版ではこの言葉が75回も登場している。この点をさらに強化するために、リスク評価は、管理者(個人データや個人情報を収集する理由や方法を決定する主体)の責任を説明する最初の一文に登場している。

処理の性質、範囲、状況、目的、および自然人の権利と自由に対する可能性と重大性が異なるリスクを考慮して、管理者は、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない。管理者は、処理の性質、範囲、状況、目的、および自然人の権利と自由に対する様々な可能性と重大性のリスクを考慮して、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない

リスクベースのプライバシーの枠組みが公布されたことは、従来のコンプライアンス要件から大きく逸脱しています。GDPRでは、管理の証拠や活動の記録だけを要求するのではなく、管理者に管理や保護措置に失敗した場合の可能性を考え、その失敗が個人のプライバシーにどのような害をもたらすかを評価することを要求しています。これらの義務は、データ・プライバシー影響評価の規定に要約されています。この規定は、対象となる組織に対して、新しいサービスやアプリケーションを開始する前であっても、収集や処理に関連する個人データへのリスクを積極的に評価し、適切な管理やデータセキュリティ保護が行われているかどうかを評価することを義務づけています。

EUのGDPRの対象となる組織がすぐに直面する問題は、どのようにして適切かつ体系的にプライバシーリスクを測定するかということです。 結局のところ、リスクは一見すると簡単に定量化したり、対策を講じたりできるものではありません。

企業が個人を特定できる情報がどこにあるのか、その個人データは誰のものか、誰がそのデータにアクセスしているのかを知るためのテクノロジーを採用することは、リスク分析の持続可能なアプローチのためには、一貫して答えを出さなければならない重要な問題です。

リスクアセスメントのリスクビジネス

GDPRでは、リスク評価が非常に重要視されているにもかかわらず、何がリスクを構成するのか、どのように分析するのかという定義が明示されていないのが現状です。同規則では、個人のプライバシーが侵害される可能性がある場合の「可能性と重大性」がリスク評価のフレームワークとなるとしていますが、個人データやプライベートデータの漏洩の可能性と重大性をどのようにして低減するのがベストなのかについての技術的なガイドラインは明示されていません。

GDPR は、リスクを定量化する方法を明示していませんが、いくつかのヒントを提供しています。GDPR は、対象となる組織が「一般的な義務」の一部としてリスクを考慮すべきであると述べているため、リスク分析は、データがどのように保護されているかだけでなく、データがどのように処理されているか、また、それらの処理が規定のポリシーやユーザーの同意契約に沿っているかどうかにまで及ぶべきであると考えるのが妥当でしょう。

その意味では、以下のような活動を行う場合には、リスクを考慮しなければなりません。 個人データの特性をプロファイリングの目的で大規模に処理したり評価したりすることは、被害のリスクを高める可能性があります。GDPRは、「差別、個人情報の窃盗や詐欺、金銭的損失、評判への損害、専門家の秘密によって保護されたデータの機密性の喪失、偽名の不正な取り消し、またはその他の顕著な経済的または社会的不利益」につながる可能性のある処理活動から生じる「物理的、物質的または道徳的損害」を非常に大まかに定義しています。

処理によってもたらされる危害のリスクは、第 30 条によれば、対象組織が「リスクに応じた適切なレベルのセキュリティ」を実施していることを保証しなければなりません。 例えば、GDPR は、仮名化されたデータが含まれ、パーソナライゼーションの結果が得られることを意図していない場合、処理は低リスクであると考えています。

したがって、リスクを定量化し、危害が発生する確率を評価することから始める必要があります。

  • 何が、誰のデータを収集しているのかを理解する。
  • データ属性の感度測定
  • データの居住地の割り当て
  • どのように処理され、アクセスされているかをマッピング
  • どこにどのように保存されているかをピンポイントで表示
  • 処理違反や不正アクセスなど、不正使用されている場所の特定
  • データが同意書に沿って収集されているかどうかの分析
  • 収集するデータが目的の制限に沿っているかどうかの分析
  • 晒しや盗難に遭いやすい時期を見極めることができます。

データドリブンリスクモデリング

リスクを管理し、データ対象者への危害の可能性を制限することは、プライバシーポリシー、データ収集プロセス、アプリケーション設計、ストレージセキュリティ、データ管理、アクセス制御、データ保護の各要素の総体であることは必然である。プライバシー担当者、IT部門、アプリケーションオーナー、情報セキュリティ担当者など、様々なステークホルダーが、様々な視点からリスクの問題に向き合うことになります。 それぞれの機能領域におけるプライバシーリスクを理解し、定量化し、管理するためのツールとして、テクノロジーが必要です。

データフロー、アクセスアクティビティ、データマッピングへの洞察とインテリジェンスは、機能横断的なリスク管理と緩和のフレームワークに向かうために必要な基礎的なインプットです。リスクの高い活動に対して実行可能な推奨事項を提供し、データ管理または情報セキュリティチームによる作業フローの自動化を推進するためには、リスクモデルは実際のデータに基づいたものでなければなりません。

リスクモデリングツールは、データの機密性、居住性、データセキュリティ、アプリケーションアクセスを含むGDPRの要件の中心となる要因に基づいてデータリスクを理解し、比較するのに役立ちますが、利害関係者に関連するビューで提示されます。

静的な入力、特にデータの居住性、データセキュリティ、アプリケーションアクセスの両方を考慮することで、データリスクを理解し、比較することができます。 嚢胞と相対的な感度、アクセスパターンの分析やアプリケーションアクセスのような動的なリスクインプットを、ステークホル ダーに関連した視点で提示している。

データの居住性や相対的な感度などの静的な入力と、アクセスパターン、アプリケーションの動作、認証情報、データの脆弱性の分析などの動的なリスク入力の両方を考慮に入れると、組織のサイロで行われる一連のバラバラで切り離された(多くの場合、手動で集中的に行われる)プロセスよりもはるかに包括的な画像が作成されます。

リスク評価と分析は、KPI測定ツールとして実用的ですぐに役立つように設計されています。データタイプ、データの居住性、消費アプリケーションなどのような拡張可能なリスク入力のパレットに基づいて重み付けを設定するためのシンプルなコンフィグレータをオペレータに提供します。管理者は、特定のリスクKPIを定義するために、特定の重み付けを設定することができます。さらに、管理者は任意の数の独立したKPIを生成できるので、株式が複数のインデックス・パフォーマンス・ベンチマーク(ダウ20S&P500、…)に対してベンチマークされる方法と同様に、任意の数のベンチマークに対してKPIを追跡することができます。

これに基づいてリスクモデルを構築することで、利害関係者は簡単なフィルタやクエリを使って特定のデータやデータアクティビティを掘り下げることができ、データやデータ利用のあらゆるスライスのリスクを簡単に評価することができるようになります。 また、リスク軽減の推奨は、全体のリスクに対する相対的な影響によって順序付けすることができます。

すべての利害関係者が時間の経過とともにリスクのパフォーマンスを理解するのを助ける一連の可視化ツールと役割別のビューを提供します。さらに、リスク指標のいずれもAPIを介してアクセスできるので、GRCツール、SIEM分析ツール、またはUBAセキュリティツールでリスクKPIを簡単に再利用することができます。

これらの自動化されたリスク評価は、調査の優先順位付けやGDPRの要件であるプライバシー影響評価を必要とするリスクの高いプロセスを評価するために、データ発見およびデータマッピングツールと組み合わせて使用することもできます。データと使用に関するリスクインテリジェンスに基づいて、プライバシー担当者はリスク軽減の努力に優先順位をつけることができます。

2つのリスクプロファイルは同じではありません

すべての組織にはそれぞれ異なる重点とリスク哲学があるので、リスクモデルは、組織がリスクの割合に関連する重み付けとしきい値を設定できるようにカスタマイズすることができます。例えば、組織は他のデータ対象者と比較してEU域内に居住する個人に高いリスクを与えることを選択し、他の組織はEU域外で行われるデータ処理に高いリスクを割り当てることができます。

例えば、オンライン小売業のような業種では、企業は匿名のウェブ閲覧データであるべきものに複数の識別属性を関連付けることに高いリスクを割り当てるでしょう。システムは、クッキーから取得したデータが個人識別可能な情報と結合されているかどうか、あるいは処理パートナーが両方のデータストアにアクセスしているかどうかを検出して、実行可能な推奨事項を含むアラートを生成するために、コンフィグすることができます。

医学研究の分野では、すべての個人データ属性に与えられた相対的なリスクの重み付けはさらに高くなり、リスクモデルは処理を通じた再識別の確率にもっと重み付けされます。

結論

GDPRのリスクベースのフレームワークにどのように対応するのがベストなのかが不確実な中でも、対象となる組織はリスクの定量化とリスクを軽減するための部門横断的なプロセスの両方に積極的に取り組まなければならないことは明らかです。また、何が高リスクの活動とみなされ、より効果的な保護によってリスクを下げることができるかは明らかですが、リスクは固定的なものではなく、組織全体にとっても、リスク管理の責任を負うことになった利害関係者にとっても、1つのサイズですべてをカバーするモデルは存在しません。

 

 

SNSでもご購読できます。

コメントを残す

*