2018年5月25日、GDPR(EU一般データ保護規則)が施行されたが、未だに混乱は続いている。ガートナー 主席アナリスト アヤル・ティロシュ氏は、7月24日~26日に行われた「ガートナー セキュリティ&リスク・マネジメントサミット 2018」における講演「GDPR:その先を見据えて:プライバシーの保護態勢における3つの通説と6つの主要機能」で、プライバシー管理プログラムのあるべき姿について語った。

GDPRは事業部門主体で進めるべき

GDPRは、セキュリティチームにとって2018年最大のトピックである。施行開始を間近に控えた2018年の第一四半期、GDPRに関するガートナーへの顧客からの問い合わせは、前年比で400%以上増加したという。

ガートナー 主席アナリスト アヤル・ティロシュ氏

多くの問い合わせ内容に回答した経験から、ティロシュ氏は顧客からの問い合わせには主に3つの誤解があることに気付いたという。

1つは「それはIT部門の問題だ」というものだ。GDPRはIT部門だけが対応するべき問題ではなく、事業部門の関与も含めて組織的な対応が不可欠である。例えば、第35条で定められているインパクト評価では、プライバシーオフィサーは中心的な役割を果たすが、データオーナーである事業部門の協力なしでは進まない。

車の運転にたとえると、IT部門は自動車、セキュリティチームはブレーキを提供する。実際に車を目的地まで走らせるのは、運転手であるビジネスオーナーだ。運転手が制限速度を守るのと同様に、ビジネスオーナーは法規制に遵守しなくてはならない。

ティロシュ氏は、「データの扱いでは文脈が重要である」と続ける。例えば、一般車と救急車を同じように扱うことはできない。運転という行為は同じでも、2つの車両の運転手にはそれぞれ別の責任がある。人命救助という目的を持つ救急車であれば、制限速度以上での運転や信号無視も認められるが、一般車では許されない。

また、個人情報をマスキングする際も、何を隠すべきかを明確に定義できるのはオーナーシップを持つ事業部門しかいない。こうしたことから「GDPR対応は、ツールを用意するIT部門ではなく、事業部門がリーダーシップを発揮するべきだ」とティロシュ氏は訴えた。

機密情報か否かを決定するのは「データの文脈」

2つ目の誤解は「それはPII(Personal Identifiable Information:個人を特定できる情報)に限った問題だ」というものである。個人情報だけを隠せば済むわけではないことを説明するため、ティロシュ氏は2つのマップの例を紹介した。

機密情報になり得るデータの例/出典:ガートナー(2018年7月)

図の左側は有名なビデオゲームのマップであり、機密情報ではない。一方、右側は意図せずして機密情報になってしまったマップである。これはフィットネストラッカーから取得したジョギングの記録データだが、問題はその場所である。アフガニスタンの軍事基地内だったため、基地の輪郭がわかってしまったのだ。「ジョギングは機密ではないが、文脈に問題があった」とティロシュ氏は説明する。文脈でデータの機密性が変化するならば、ツールを使って漏えいを防止することは難しい。さらに、この例では、外部の盗用だけでなく、内部からの意図しない機密情報の暴露を防ぐことの難しさも示している。

GDPRで重要なのはデータの利用目的である。必要でない場面でデータを使うことが侵害と見なされるからこそ、対応のためにインパクト評価を実施しなくてはならない。ポイントは、「必要でないデータを持たないこと」だとティロシュ氏は話す。どこにどんなデータがあり、なぜそのデータが必要か、データ主体からどんな同意を得られているかを評価する必要があるのだ。