データプライバシーとセキュリティコンプライアンス

グローバルな規制と標準:規制の対象となる保存されているデータの暗号化

コンプライアンスに戻る

 

Title Green Bar データプライバシーとセキュリティ規制とは?

個人データや機密データの保護に関連する多数のデータプライバシーおよびセキュリティ規制が実施されており、その数は世界中で今なお増加しています。特定の業界情報の保護について焦点を当てている規制もありますが、主にデータの損失と漏えいに関するインシデントについて規定しているものもあります。

現在の多くのコンプライアンス標準は、保存されているデータの保護を対象としています。個人情報やデータの究極的な保護は、それらを完全に消去するか、少なくとも誰の情報であるか識別できる要素を消去することです。一部の企業は、コンプライアンスを遵守するために特定のテクノロジーを推奨しています。暗号化は、保存しているデータを保護するための重要な手法の 1 つです。規制当局の中は、暗号化では数式を使用するため、(鍵が破棄されない限り)復号できるという立場を取っている場合があります。したがって、暗号化は「時間遅延」のメカニズムと見なされ、その時間が重要となります。 

Title Green Bar NIST、FISMA、およびISOとは?

アメリカ国立標準技術研究所(NIST)は、米国政府のデータとサイバーセキュリティの標準とベストプラクティスを開発および公開しています。NISTが公開した出版物は、HIPAA、PCI、FISMAなどのさまざまなデータプライバシーおよびセキュリティ規制で参照されることが多くあります。

連邦情報セキュリティ管理法(FISMA)は、政府の情報、オペレーション、資産を保護するための包括的なフレームワークを定義する米国の法律です。FISMAは、すべての米国連邦政府機関、請負業者、および連邦データを扱うその他の組織に適用されます。FISMAは米国政府によって開発および実装されているため、ポリシーに共通するフレームワークと見なされ、コンプライアンス要件を満たすために民間部門によっても使用されています。

T国際標準化機構(ISO)は、各国の国家標準化団体で構成される非政府組織であり、専門家を集めて知識を収集し、イノベーションを支援し、グローバルな課題への解決策を提供する自発的かつ合意に基づく市場に関連する国際標準を策定しています。ヨーロッパでは、ISOは、特にISO 27001に重点を置いており、データセキュリティ標準の策定を主導するリーダー的な組織と考えられています。  

Title Green Bar 保存されているデータとは?

保存されているデータとは、デスクトップ、ノートPC、リムーバブルメディアデバイス、データベースやファイルサーバ、サービスとしてのクラウドインフラ(IaaS)に保存されているデータです。移動中のデータ(ある場所から別の場所に移動しているデータ)とは異なり、保存されているデータは、移動していない、または使用されていないデータです。保存されているデータは移動中のデータよりもリスクが低いと考えられる場合もありますが、保存されているデータにより大きな価値を見出している攻撃者も多く存在します。

Title Green Bar 保存されているデータを保護する理由

デバイスの紛失・盗難があった場合や、仮想およびクラウドインフラの脆弱性により、機密データがリスクにさらされる可能性があります。暗号化は、データ保護において主要な役割を果たし、物理、仮想、およびクラウド環境での紛失、盗難、または不正アクセスから保存されているデータを保護するための一般的に利用されているツールです。暗号化によって保存されているデータを保護することは、多くのデータプライバシーとセキュリティ規制でも義務付けられています。

 

影響を受けることが多いデータのタイプ

Title Green Bar 個人情報、個人を特定できる情報(PII)

個人データは、個人が識別されている、または個人の識別が可能となる情報です。さまざまな情報の断片でも、一緒に収集されると、特定の個人を識別できるようになる可能性があり、個人情報(PII)とも呼ばれる個人データの構成要素となります。PII には、社会保障番号、住所、電話番号、およびアイデンティティの盗難やその他の犯罪行為に悪用される恐れがある個人を特定できるデータなどが含まれる場合があります。

Title Green Bar 個人健康情報(PHI)

PHIには、保険に関する情報、カルテ(医療記録)、生物学的データ、および公開することが禁じられている他の患者を特定可能にする情報など、機密の患者データおよび健康データが含まれています。

Title Green Bar 財務データ

財務データにはさまざまな種類がありますが、クレジットカードの口座番号、トラッキングデータ、関連する金融情報、またはその他の信用関連の情報が含まれていることが多くあります。たとえば、PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を受け入れ処理、保存、送信するすべての企業に適用されます。

Title Green Bar 軍事および政府機関のデータ

政府のプログラムに関連するデータ、特に軍事部門や軍事作戦に関連するデータは厳格に規制されています。

Title Green Bar 企業独自の機密データ 

企業秘密、調査データやビジネスインテリジェンス、マネジメント報告書、顧客情報、社内の売上データなど、一般に公開することが禁じられているデータです。

Laptop icon