< lcn home

コンテナとクラウドにおけるGDPR準拠ガイド

目 次

ここで学べること

Table of contents
This is the block containing the component that will be injected inside the Rich Text. You can hide this block if you want.

過去数年間にクラウド環境の設計や管理に関わったことがある方であれば、おそらく一般データ保護規則(GDPR)について既にご存知かと思います。2018年に施行されたGDPRは、近年登場した主要なコンプライアンス枠組みの一つです。そのため、従来のコンプライアンス枠組み(HIPAAやPCI DSSなど)とは異なり、特にクラウドコンピューティングを念頭に置いて設計されています。

GDPRは企業がクラウドでワークロードを実行することを妨げるものではありませんが、アプリケーションやデータをクラウドでホストするために多くの組織が遵守すべき一連の規則を定めています。本記事では、GDPRがクラウドコンピューティングに与える影響、GDPRの義務遵守が必要な企業、そしてGDPR準拠を促進する形でクラウド環境を保護する方法について解説します。

GDPRとは?

GDPRは、デジタルプライバシー権を保護するために設計された欧州連合の規制です。企業が「個人データ」と呼ばれる情報をどのように保管し処理するかを規制しており、第4条では次のように定義されています:

特定された、または特定可能な自然人(「データ主体」)に関連するあらゆる情報。特定可能な自然人とは、氏名、識別番号、位置データ、オンライン識別子などの識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的特性に固有の要素の一つまたは複数を参照することにより、直接的または間接的に識別可能な者を指します。

GDPRの適用範囲

GDPRは欧州連合(EU)の規制ではありますが、世界中の企業に広範な影響を及ぼします。

これは、GDPRがEU居住者の個人データを収集または処理するあらゆる組織に適用されるためです。たとえ当該組織自体がEU域外に拠点を置き、EU域内のインフラを使用して個人データを保存または処理していない場合でも適用対象となります。カリフォルニア州のサーバーでウェブサイトをホストしている場合や、日本のデータセンターからSaaSアプリケーションを運営している場合でも、EU居住者がそのサイトやアプリケーションを利用すれば、たとえ貴社がEU域内に直接的な事業拠点を有していなくても、GDPRの適用対象となる可能性があります。

また、他のコンプライアンス枠組みとは異なり、GDPRは小規模組織に対する免除規定を設けていません。規模に関わらず全ての事業体に適用されます。従業員250名未満の事業体については特定のコンプライアンス手続きを簡素化しますが、GDPRの中核要件そのものからの免除は実際には認められていません。

GDPRの要件とは?

GDPRの全文は非常に長文です。しかし、その要点は第5条にまとめられており、個人データを保管または処理する際に組織が遵守すべき7つの基本原則に集約されます

  • 適法性、公正性、透明性:組織は個人データの利用方法について透明性を保ち、確立された法律に基づきGDPRが合理的と認める方法で管理しなければなりません。
  • 利用目的の限定:組織はデータを特定かつ限定された目的のために使用しなければなりません。例えば、理由なく個人データを収集し無期限に保管することはできません。
  • データの最小化:組織は、事業目的を達成するために必要最小限の個人データ収集に制限すべきです。
  • 正確性:組織は、個人について収集・保管するデータの正確性を確保するよう努めなければなりません。また、消費者が不正確なデータを修正できる手段を提供する必要があります。
  • 保管期間の制限:組織は、必要以上に個人データを保管すべきではありません。
  • 完全性と機密性(セキュリティ):組織は、個人データの悪用や不正アクセスを防止するため、合理的なセキュリティ対策を講じなければなりません。
  • 説明責任:組織は、GDPRの原則を遵守していることを実証できる必要があります。

これらの原則はGDPRの「何を」定義していますが、GDPR自体は「どのように」適用すべきかについてあまり具体的に述べていません。例えば、組織がデータを保存できる正確な期間を明記しておらず、単に合理的な保存期間の制限という原則を定めているだけです。また、機密データを含む環境をどのように保護すべきかについても具体的に規定しておらず、組織がそれらを保護するために合理的な措置を講じるべきだと述べるに留まっています。

したがって、GDPRは原則を実践に移す方法を主に組織自身に委ねています。そのため、GDPR準拠のためのベストプラクティスは、各企業が扱うワークロードの種類によって大きく異なることになります。

GDPR非準拠の場合の影響とは?

GDPRは非準拠に対する罰金について非常に明確に規定しています。罰金額は最大2000万ユーロ、または当該事業体の年間収益の4%のいずれか高い方が適用されます。なお、罰金は違反行為ごとに課されるため、規制当局が複数の非準拠違反を認定した場合、企業はこれらの金額の複数倍を支払う可能性がございます。

ただし、GDPR違反に対する罰金は違反の重大度に基づいて算定されるため、より低い金額となる可能性もあります。GDPRは比較的新しい規制であるため、様々な状況下で実際にどの程度のコストが発生するかを示す執行事例は現時点では限られています。しかし、既に高額な罰金が科された事例もあり、特にアマゾン社への6億3600万ユーロの罰金が注目されています。

GDPRクラウドコンプライアンスのベストプラクティス

GDPRは原則の実施方法についてあまり具体的に規定していないため、GDPRに準拠したクラウド環境を設計・管理する方法について絶対的なルールは存在しません。ただし、従うべき標準的なベストプラクティスがいくつかあります。

GDPR準拠のクラウドの利用

まず第一に、クラウドプロバイダーが自社のインフラ管理においてGDPRの義務を遵守していることを確認してください。主要なクラウドサービスはほとんどの場合、自社のサービスの大半についてGDPR準拠を約束していますので、これは大きな課題とはならないでしょう。ただし、過去にGDPR準拠に関する問題が発生したことがないか、プロバイダーについて調査を行うことをお勧めします。

データの匿名化

データの匿名化は、個人データが不正アクセスに晒されないことを保証するものではありませんが、クラウド上で保存または処理するデータを匿名化することは、GDPR準拠問題のリスクを軽減するためのベストプラクティスです。

クラウドデータライフサイクルポリシーの活用

ほとんどのパブリッククラウドは、データライフサイクル管理ツールを提供しており、指定された保存期間を経過したデータを自動的に削除するなどの機能を備えています。手動でのデータ削除に依存することなく、GDPRの保存期間制限原則を実装する支援として、これらのツールのご利用をご検討ください。

クラウドデータの暗号化

クラウドストレージバケット、データベース、その他の保存場所の暗号化は、個人データの漏洩リスクを軽減するためのもう一つのベストプラクティスです。また、機密データを転送するネットワーク接続の暗号化、ならびにクラウド環境内またはクラウドと外部ロケーション間の機密データ転送範囲の最小化も実施すべきです。

クラウドリソースのタグ付けと分類

クラウドプロバイダーのタグ付けまたはラベル付けシステムを活用し、クラウドリソースを分類・整理してください。タグを使用しないこと自体がコンプライアンス違反となるわけではありませんが、タグを活用することで、クラウド環境内のどこかに機密データを意図せず保存・処理してしまうリスクを低減できます。このリスクは、複数のユーザーやチームが共有する大規模なクラウド環境において、深刻な問題を引き起こす可能性があります。

クラウドアクセス制御の実施

クラウドプロバイダーのIAM(ID管理)を活用し、クラウド内の個人データにアクセスできるユーザー、アプリケーション、サービスを制限してください。同様に重要なのは、IAM設定を自動的にスキャンし、インターネット上の誰でも公開すべきでないデータを閲覧できるIAMルールなど、不正アクセスにつながる可能性のある見落としを検出することです。

コンテナ環境におけるGDPR準拠

上記の対策は、ほぼあらゆる種類のクラウドベースのワークロードに適用されます。ただし、コンテナベースの環境を扱う際には、GDPR準拠に関して留意すべき追加事項がいくつか存在します。

コンテナイメージのスキャン

コンテナイメージのスキャンは、コンテナイメージ内に存在する可能性のあるマルウェア、脆弱性、その他のリスクを特定するのに役立ちます。コンテナを実行される場合、イメージスキャンはGDPR準拠のために実施すべき合理的なセキュリティ対策の一部となります。

監査ログ

Kubernetesをご利用の場合、Kubernetes監査ログを活用することで、コンテナ化された環境における潜在的なセキュリティ問題を検出できます。監査ログは、GDPRに基づく説明責任の証明に役立つ可能性があります。また、組織が実装することが期待される基本的なセキュリティ対策と見なされる場合もあります。

コンテナデータの管理

コンテナ環境における個人データの管理は特に困難を伴います。個人データが最初にコンテナ内に存在し、その後Kubernetesストレージボリュームなどの外部リソースへ移動されるケースも想定されます。コンテナインフラストラクチャの全レイヤーを通過する個人データの暗号化を確実に実施することが重要です。また、コンテナとマイクロサービス間のネットワーク接続についても、サービスメッシュなどのツールを活用し、暗号化やその他のセキュリティ対策を講じる必要があります。

コンテナ向けRBACツール

クラウド環境全体での汎用的なアクセス制御にはクラウドIAMフレームワークが有用ですが、コンテナのセキュリティ確保においてはセキュリティコンテキストのようなツールの細やかさやニュアンスが不足しています。GDPRコンプライアンスを強化するため、環境で利用可能なコンテナ特化型アクセス制御ツールを活用されることをお勧めいたします。

まとめ

GDPRは世界中の組織におけるクラウドとコンテナの利用方法に重大な影響を及ぼしますが、その規則に準拠することは十分に実現可能です。そのためにはまず、GDPRが施行を目的とする基本的なコンプライアンスとセキュリティの原則を理解し、次に自社の環境でGDPR要件を満たすために導入可能なツールと実践方法を特定することから始めます。

FAQs

No items found.

セキュリティ専門家とともに、
クラウドを防御する正しい方法を試してみよう

デモを依頼