ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都、代表取締役社長:ピーター・ハレット、以下チェック・ポイント)は、『GDPR: 第5世代のデータ・セキュリティ』のブログを公表しました。EU一般データ保護規則(GDPR)が施行された現在、データの保護を取り巻く環境は混迷の時期を迎えているとしています。GDPRに準拠するためには、第5世代のセキュリティ対策として、組織レベルの大規模な改革を全面的に実施する取り組みが必要とされますが、この対策が施されているのはグローバルでわずか3%との調査結果となっています。

 

GDPR: 第5世代のデータ・セキュリティ

GDPRで「データのプライバシーやセキュリティを取り巻く環境が激変する」とよく言われていますが、この規則は19世紀の法律論文やそれ以降のさまざまな指令にルーツがあり、施行そのものは驚くようなことではありません。

ただし、データの保護を取り巻く環境が激変することは、おそらくというよりほぼ間違いないでしょう。GDPRは文化的な変革により、個人情報を管理する権利を再び市民の手に取り戻すという崇高な目標を掲げており、疑う余地なく良い意味で大きな変化をもたらそうとしています。

とはいえ、GDPRの施行を「青天の霹靂」と捉えるべきではありません。個人のプライバシーの保護徹底や企業の説明責任の改善を強く求める声は20年前から上がっており、その声は年々高まってきていました。実際のところ、GDPRや「第5世代のデータ・セキュリティ」に辿り着くまでの一連の流れには、20年では遠くおよばない歴史があります。

 

第1世代のデータ・セキュリティ

GDPRの施行は(いろいろな意味で)、1890年から続いている一連の動きの当然の帰結と言えるでしょう。1890年と言えば、「世界で初めてプライバシー権を主張した」と言われているサミュエル・ウォーレンとルイス・ブランダイスの論文が法学雑誌『ハーバード・ロー・レビュー』に掲載された年です。以来、この独創的な論文はアメリカのみならず、世界の法律に最も大きな影響を及ぼしたと考えられています。

 

人権としてのプライバシー

この第1世代のデータ・セキュリティがきっかけとなり、プライバシーが基本的な権利として確立されるまでの一連の流れが生まれました。1948年12月10日に国連で採択された世界人権宣言の第12条には、プライバシー権の存在が明確に記されています。

「何人も、自己の私事、家族、家庭若しくは通信に対して、ほしいままに干渉され、又は名誉及び信用に対して攻撃を受けることはない。人はすべて、このような干渉又は攻撃に対して法の保護を受ける権利を有する 。」

 

データの取り扱いに関する論争

1980年以降、プライバシーに関する議論の中心は個人情報をどのように取り扱い、どのようにやり取りするかに変わりました。1980年9月に策定されたOECDのガイドラインは第3世代のデータ・セキュリティを形にしたもので、個人情報を取り扱うにあたって守るべき主な原則を明確にしています。

ガイドラインには個人情報の収集方法、利用方法、情報を保護するために導入すべきセキュリティ対策や、保有情報の開示を求める個人の権利に関する規範が盛り込まれていましたが、法的拘束力がなかったため、ヨーロッパでは国によって導入状況にばらつきがあり、世界的に見た場合はさらに大きな開きがありました。このため、複数の地域にまたがるデータの自由な移動が阻害される結果になっていたのです。

そして1995年にはEUデータ保護指令(Directive 95/46/EC)が発効。第4世代のデータ・セキュリティに移行する端緒を開くものであり、ヨーロッパ全土でルールを共通化する(ひいては全世界で共通のルールを持つ)取り組みにより、データの自由な移動の促進を狙って制定されました。透明性、正当性、比例性の基本原則が明記されており、GDPRの中核をなす思想の原点がここにあることを確認できます。

 

GDPRの時代

GDPRは100年以上前のハーバード大学に始まり、脈々と続いているデータ・セキュリティの進化の第5段階となります。2018年5月25日以降、EUの市民の個人情報を取り扱う場合は、どの組織であっても明確に規定された義務を果たさなければなりません。しかも、従来と異なり法的拘束力があるのが特徴です。この規則はEUで活動していない組織にも適用されるため、ヨーロッパだけでなく世界的にも大きな影響が及びます。GDPRは個人のプライバシーの保護を中心に据えており、第5条ではその旨がわかりやすく簡潔に述べられています。

「個人情報は適切なセキュリティを確保した上で取り扱うものとする。これには無許可の又は違法な取り扱い、及び偶発的な滅失に対する保護も含まれる。」

 

市民や企業のための規則

GDPRは個人のプライバシーを保護するだけでなく、共通の原則を適用して安全かつ自由なデータの移動を適切に促進することにより、企業の活動をサポートすることも目指しています。国境を越えてデータを安全に移動できるようにするという構想は「第3、第4世代」ではまだ不完全でしたが、GDPRで一貫性の確立が盛り込まれた結果、ようやく完全な状態になったと言えるでしょう。

しかし、GDPRには個人と企業にプラスとなる多くの要素がある一方で、5月25日以降、個人情報を取り扱う組織には驚くほど厳しい義務が課されます。GDPRが組織に求める主要な要件の1つに、適切なセキュリティ・プロトコルの採用があります。「セキュリティ・バイ・デザイン/バイ・デフォルト」と呼ばれているもので、具体的にはセキュリティ対策を後付けするのではなく、ITシステムを構築する段階から組み込まなければならないというルールです。

 

第5世代のサイバー攻撃には第5世代のデータ・セキュリティ

全世界の売上高の最大4%が制裁金として課されるなど、GDPRにはトップ・ニュースになりかねない罰則もあるため、企業は当然のことながら慎重に対応を進めています。しかし、サイバー攻撃が第5世代に突入している現状では、悠長に構えているわけにはいきません。

第5世代の脅威は複雑であり、複数の経路を使用した大規模な攻撃がいつ襲いかかってくるかわかりません。組織としては必要なレベルのデータ・セキュリティを早期に確立できるよう、すぐにでも対策を講じる必要があります。第5世代の高度なサイバー攻撃はプラットフォームを問わず速いペースで拡散し、世界中の多くの企業に数時間で感染します。

ただし、これはあくまで応急の措置であり、第5世代のサイバー攻撃に適切に対処するには、ネットワーク、クラウド、モバイル・デバイスでリアルタイムの脅威情報を共有し、どのプラットフォームでも同じように脅威を阻止できるアーキテクチャ・ベースのサイバー・セキュリティが欠かせません。しかしながら、チェック・ポイントの調査によると、そうしたセキュリティ対策を導入している組織は現時点では3%に留まっています。

GDPRに準拠するためには(既に準拠している場合はその状態を維持するためには)、第5世代のセキュリティ対策の一環として、組織レベルの大規模な改革を全面的に実施する取り組みも必要となります。多くの要素が絡んでくる大規模なプロジェクトとなりますが、人材の配置、データの監査と分類、リスクの分析、ログの記録、および基本的な管理機能は真っ先に手を付けるべき重要項目として検討するようにしてください。

 

データの保護が極めて困難になっている

プライバシーやデータのセキュリティの確保が、これほどまでに困難になった時期はかつてありません。高度な脅威が新たに出現している一方で、市民から(および法律により)求められている高いレベルの保護対策も実現しなければならず、世界中の組織がこれら2つのプレッシャーを同時に受けている状況です。

このため、包括的で汎用性が高いプラットフォームを利用して手間をかけずにセキュリティを確保する対策が、これまで以上に重要となっています。

 

本ブログは、米国時間6月4日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。