DevOpsで対応するGDPR

こんにちは。SB C&Sの竹石と申します。
今年４月から加藤と共にDevOpsを担当することになりました。
入社以来、ずっとセキュリティー製品のプリセールスをしてきましたので、このブログでは主にセキュリティーの視点からDevOpsをお伝えできればと思っております。

唐突ですが、皆さま、GDPRという言葉をご存知でしょうか。

2018年5月25日からヨーロッパでGDPRという個人データ保護の法律が施行され、セキュリティー業界的にはかなりインパクトの強い話題となっています。
今年2月の日経新聞の一面で取り上げられており、国内でも大きな話題になっております。

GDPR対策としてDevOps的な考え方も求められるため「GDPRについて知りたい」「DevOpsの取り組みを検討している」という方は、ぜひ本ブログをご覧いただければと思います。

概要

GDPRとはGeneral Data Protection Regulationの略で、日本語にすると一般データ保護規則となります。
EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー（これをまとめてEEA：European Economic Areaと呼びます）の個人データの保護を目的とした規則であり、個人データの移転と処理について法的な要件が定められているものです。
グローバル化が進む現在、日本でも多くの企業が欧州の個人情報を扱っているため、対応が必要とされています。

以下GDPRの主な概要をまとめました。

GDPRの概要

• 2018年5月25日から施行開始
• 日本企業も対象になりうる
  組織の規模、公的機関、非営利団体、組織の所在地等関係なくEEAの個人データを扱う組織は対象
• 忘れられる権利の認定
  ※忘れられる権利とは
  2011年11月、フランスの女性がGoogleに対し「過去のヌード写真の消去」を請求して勝訴するという判決が出されました。
  この判決は、世界で初めて「忘れられる権利」を認めたものとして画期的なものでした。
  この判決が契機となり、今回のGDPRに忘れられる権利が盛り込まれました。
• 対象の個人データが漏えいした場合、72時間以内に報告義務
• 大規模に個人データを取扱う組織、または公的機関は、DPO(Data Protection Officer)を設置しなければならない
  ※DPOの役割とは？
  ・データ管理者・処理者への情報提供、助言
  ・データ保護に関する法令、企業準則の遵守状況の監視
  ・データ保護影響評価への助言と 評価
  ・監督機関への協力
  ・データ処理に関する監督機関とのコンタクトポイント
  CISOの設置に加えDPO設置まで必要になるとワールドワイドでセキュリティー人材不足はさらに加速するでしょう。
• 違反した場合には莫大な罰金を科せられる
  最大で年間世界売上高の４％か2千万ユーロ（約26億円）のどちらか高い方

GDPR対策

GDPR対策については、何をもってGDPRに準拠しているかの明確な定義がなく、規則の内容に曖昧な部分もあるため、「これをやっておけば完璧」と提示することはできません。

ただ一番重要なこととしてはデータの所在の追跡です。
データを保護するとしても、忘れられる権利が行使されて消去するとしても、どんなデータが、どんな経路で、どこに保管されるのかを可視化しない限り適切な対応をすることは不可能です。
そのためにはビジネス部門、開発部門、インフラ部門、セキュリティー部門、法務などが密に連携しシステムを設計する必要があり、まさにDevOps的な考え方が求められます。

またプライバシー・バイ・デザインという考え方もGDPRの組織的、技術的要件の中に含まれており、根本的にソフトウェア開発ライフサイクルを見直さなければならないかもしれません。
アスタリスクリサーチのドラーチャさんの記事の中でも出てくる「シフトレフト」の考え方が求められます。

※プライバシー・バイ・デザインとは？
システムや業務にて個人データを使用する段階でプライバシー保護の施策を検討するのではなく、そもそも企画・設計段階からプライバシー保護を組み込むという考え方です。

もう少し細かい対策をお伝えいたしますと、個人データの仮名化、匿名化、暗号化などが挙げられます。

概要部分で「漏えいした場合、72時間以内に報告義務あり」とお伝えしましたが、個人データを暗号化し解読不可能にすれば、漏えいしてしまった場合でもそのデータが解読不可能であることを証明できる場合には、罰金処分の可能性が減ります。

さらに一部の企業では対策として様子を見るため、一次的に欧州との取引を停止する、欧州からのWebアクセスを全てブロックというようなリスク回避をする企業が出てきています。
欧州から得られる利益よりもGDPRへの対策費用や罰金を支払うリスクの方が高いという判断ですね。

今回はGDPRという非常にホットな話題についてお伝えさせていただきました。
GDPRとは、規制ではなく、法律であるため、欧州の個人データ活用にはこれまで以上に厳格なシステムが求められます。

要件が複雑、かつ曖昧で非常にナイーブなプロジェクトだと思いますが、そんなときDevOpsという文化は少なからず助けになることでしょう。

ちなみにサイバー犯罪者もGDPRをビジネスにするであろうと予想されています。
GDPRの罰金が非常に高額であることを利用して、ターゲット企業のGDPR対象の個人情報を盗み出し、GDPRの制裁金を逃れる代わりに高額な身代金を払うように脅迫します。
最大26億の罰金が待ち構えていたら、10億くらい支払ってしまうかもしれませんね...。