• Bookmark

COBIT 5とGDPR

ジョアンナ・カーツェフスカ(CISA)著

COBIT Focus | 2017 年5 月29 日 English | Chinese Simplified | Spanish

欧州連合(EU)の一般データ保護規則(GDPR)1 発効まで丁度1 年となり、欧州に顧客を持つあらゆる組織がその要件への対応を開始する時期である。EU 各国の監督機関の大半はその実施に関わるガイドラインを発行しているが、情報技術に関することならば、すでに良く知られているエンタープライズIT ガバナンス(GEIT)のフレームワークから追加のヒントを得ることも便利な方法だろう。 そのフレームワークが COBIT である。


GDPR に備える組織を支援するため、アイルランドのOffice of the Data Protection Commissioner (DPC) が作成した「The GDPR and You、」2 等のガイドを参照することも有用である。明確なガイダンスと実用的な開始地点を提供するために、DPC はチェックリストを作成して2018 年の完全準拠に向けた支援をしている。COBIT 5 イネーブラーをDPC のロードマップに適用することにより、COBIT を活用する基本的な範囲を決定することができる。


COBIT 5のイネーブラー:プロセス

DCP で推奨されているとおり、最初のステップは今後の法令変更に注意することである。DCP は「GDPR に関する法令が変更されることを組織内の主要人物が理解し、今後の計画においてこの法令変更を考慮することが不可欠である。 GDPR を準拠するうえで問題となり得る領域を識別し始めるべきだ。」と述べている。3


関連するCOBIT 5 プロセスとして挙げられるのは「APO01 Manage the IT Management Framework」とそのマネジメント手法である。

  • APO01.01 組織構造の定義(図表1):
    • GDPR の実施において重要な意思決定を行うステークホルダーの関与を確立する

図表1 — COBIT 5プロセスAPO01.01

出典:ISACA, COBIT 5, USA, 2012

  • APO01.02 役割と責任の確立およびその活動(図表2):
    • GDPR の実施に関わる事業体内のすべての要員に対し、特に意思決定と承認に関する役割と責任を明確に示して IT 関連の役割を設定、合意および周知する。これによりすべてのが新たな法令および準拠の必要性について理解できるようにする。

図表2 — COBIT 5プロセスAPO01.02

出典:ISACA, COBIT 5, USA, 2012


DCP が推奨する2 番目のステップは「所有するすべての個人データのリストを作成する」ことである。4


APO01.06 情報(データ)およびシステムのオーナーシップの定義(図表3)は、該当案件についての情報、処理時間、処理の性質と目的、処理対象の個人データの種類と特定の分類、データの入手先、第三者提供の有無、保管期間および個人データに対する効果的なセキュリティを実装するためのツールと技術等を含むすべての個人データのリストの作成と維持に適用可能である。


図表3 — COBIT 5プロセスAPO01.06

出典:ISACA, COBIT 5, USA, 2012


主要な問題点のもう一つは、GDPR における新たな権利と個人の現在の権利の強化である。個人データの処理に関して組織が提示しなくてはならない情報には以下の条件がある。

  • 簡潔、透明、明確および容易なアクセス
  • 特に子供向けの場合、明確かつ平易な言葉で表記されていること
  • 無償であること

そのため、DCPは組織が新たな期間内でデータ主体からの要求を取り扱う手順をレビューし更新することを推奨しているが、ステークホルダー(ここではデータ主体)とのコミュニケーションに直接、対応するCOBIT 5プロセスは、EDM05ステークホルダーからの透明性確保とその鍵となるガバナンスの実践手法である。

  • EDM05.01データのプライバシー通知を含む、ステークホルダーへの報告要件の評価
  • EDM05.02ステークホルダーに対するコミュニケーションと報告の方向付け
  • EDM05.03ステークホルダーとのコミュニケーションのモニタリング

このプロセスのための実行責任者、説明責任者、協議先、報告先(RACI)チャート(図表4)は以下を含むために拡張することが必要な場合がある。

  • 個人からの要求を取り扱うオフィサー
  • 個人データの侵害が公になった場合に公式見解を発表し、メディアとのコミュニケーションを取り扱う広報担当オ フィサー

図表4 — COBIT 5プロセスEDM05 RACI表

出典:ISACA, COBIT 5, USA, 2012


GDPRはまた、コントローラーに個人データの侵害について遅滞なく監督機関に通知することを求め、可能な場合は侵害の事実の発覚から72時間以内とすることを求めている。コントローラーの基本的な対応は要求およびインシデントを記録、分類および優先順位付けすることで、個人データ侵害をできる限り早急に識別し、この侵害が個人の権利や自由に対するリスクをもたらすかどうかを判断することである。関連する COBIT 5 プロセスはDSS02サービス要求とインシデントの管理であり、さらに、以下の事項に関する新たな手続きの設定が必要である。

  • 監督機関に対する個人データ侵害発生の通知
  • データ主体に対する個人データの侵害発生の通達

今後数か月にわたり、第29条 作業部会5 では個人データ侵害の通知に関するガイダンスを提供していく予定で、これは新たな規制に準拠したDSS02プロセスを管理するために役立つものになるであろう。


また、GDPRはコントローラーに個人の権利や自由に対して高いリスクをもたらす処理作業に対し、データ保護の影響度評価(DPIA)の実施および設計や初期データ保護を確保することも求めているが、これには以下の2つのCOBIT 5プロセスの高い成熟度が前提となる。

  • BAI02要件定義の管理
  • BAI03ソリューションの特定と構築の管理

管理の実践手法であるBAI02.03要件定義リスク、つまり事業体の要件や提案されたソリューション(この場合、個人データ処理と個人データの自由な移転に関するルール)に関わる機能的、技術的、および情報処理に関連するリスクの識別、文書化、優先順位付けおよび低減することが求められている。


第29条作業部会のDPIAについて最近、発表されたガイダンスは、該当する処理が「高いリスクとなり得るかどうか」6 を規制2016/679に則り判別するものであるが、これは既存のEU DPIAフレームワークのリストも含まれている。中でもFrench Commission Nationale de l’Informatique et des Libertés (CNIL)が発行したプライバシー影響評価(PIA)の一連の文書は特に役立つ内容の一つである。7 英語版も作成されている。8, 9, 10


COBIT 5のイネーブラー:情報

GDPRは個人データの処理に関する原則を定めており、その中では、個人データは正確であるものとし、必要に応じて更新され、不正確な個人データについては処理の目的に沿って遅延なく、消去または修正されるために、あらゆる妥当な手順を踏まなければならないと述べている。また、個人データの処理は、適切な技術的、または組織的方法で、未承認で、または違法な処理ならびに不測の損失、破損および被害に対する保護を含め、個人データの適切な保護を確実にすることを求めている。


COBIT 5: Enabling Information で定義されている情報品質の目標に基づき、個人データは以下の条件を満たすことが求めらている。

  • 正確性—情報は正確で信頼性があること。
  • 客観性—特にプロファイリングを含む自動化された個別的な意志決定の場合、情報には偏向、偏見がなく公正であること。
  • 完全性—情報が欠落しておらず、また情報は現在の業務のために深さと広さが十分であること。
  • 最新性—情報が現在の業務のために十分最新であること。
  • 安全性/アクセス性/可用性—情報が必要なときに利用できる、あるいは容易に素早く検索できること。
  • 安全性/アクセス性/制限されたアクセス—情報へのアクセスが許可された関係者に適切に制限されていること。

COBIT 5のイネーブラー:文化、倫理および行動

上記の通り、GDPRの有効性には問題意識が重要であるため、事業体内の個人や集団行動を指すCOBIT 5イネーブラー 、倫理および行動が重要な意味を持つ。


個人データの保護に関係する事業体全体で望ましい行動を創出し、奨励し、維持するための優れた実践手法はCOBIT 5フレームワークでも述べられている通り、以下が含まれる。

  • 事業体全体において模範的な行動を周知
  • データ保護オフィサーを含めた上級経営者や他の推進者により行われる模範的な行動によって強化された、望ましい行動の認知
  • 望ましい行動を奨励するインセンティブと強要に対する抑止力
  • 望ましい組織行動に関する、より詳細なガイダンスを提供するルールと規範

COBIT 5のイネーブラー:原則、方針とフレームワーク

GDPRは管理者が適切なデータ保護規定を実施することを求めている。


個人データの処理に関する手続きの作成、あるいは既存の手順を見直す場合に、COBIT 5フレームワークが推奨する優れた方針は以下のとおりである。

  • 効果—表明された目的を達成する。
  • 効率性—GDPRの原則が最も効率的な方法で実施されるようにする。
  • 押し付けないこと—方針に従う必要のある人々にとって論理的に見えるようにする。つまり、不必要な抵抗を生まない。

また、すべてのステークホルダーがこれらの方針がどこに保管されているのかを理解し、容易にアクセスできる仕組みを構築するべきである。


セキュリティ

GDPR 第32条でのみ明確に記述されているのが、コントローラーやプロセッサーが実施費用、処理の性質、範囲、背景、目的、更には個人の権利や自由に対する安全性への影響を拡げるリスクに対する最先端の技術的考慮をしたうえで、適切な技術的、かつ組織的対策を実施することを確実行われるようにするための安全な処理について言及している。これらの手法には以下が含まれなければならない。

  • 個人データの匿名化および暗号化
  • システムやサービスを処理する継続的な機密性、完全性、可用性及び回復力を確実にする能力
  • 物理的、または技術的なインシデントの際に、適時に個人データの可用性やアクセスを回復する能力
  • 技術的および組織的手法の有効性を定期的な検査、査定および評価し処理の安全性を確保するプロセス

ただし、GDPRの他の条項にはさらに多くの要件が記載されている。情報セキュリティ管理システムの活用は確実に大きな利点となり、つまりAPO13セキュリティ管理プロセスの良好な管理につながる。


結論

COBIT 5イネーブラーのGDPRへのマッピングはすべてを網羅しているわけではなく、読者は自身の専門的判断を使い、組織に新たな法規制を準拠させるようにするためにあらゆる行動をとるべきである。ここでの意図はCOBIT 5がそれらの行動に対し極めて有用であることを示し、その活用を奨励することである。


ジョアンナ・カーツェフスカ(CISA)

IS監査人、COBITコンサルタントおよびトレーナー、ポーランドのWarsaw Technical UniversityおよびPolish Naval Academyの講師、COBITおよびIT監査に関する多数の記事の著者、そしてIT会議における講演者として活躍している。IT専門家としての40年にわたる経験、ポーランド政府機関および在ポーランドの諸外国企業での勤務歴も併せ持つカーツェフスカ氏は、多数のCOBIT 5刊行物の評論も行っている。彼女はまた、ISACA Knowledge Centerの ポーランド でのコミュニティリーダーも務めている。


後注

1 個人データの処理に係る個人の保護およびこれらのデータの自由な移転に関し欧州議会および2016年4月27日付の委員会によるEU規則2016/679 (一般データ保護規則)、ならびに指令95/46/ECの廃止、2018年5月25日適用
2 Office of the Data Protection Commissioner, The GDPR and You, アイルランド, 2017
3 同上
4 同上
5 European Commission, Article 29 Working Party, 22 November 2016
6 同上
7 Commission Nationale de l'Informatique et des Libertés, Gérer les risques, 2 March 2017
8 Commission Nationale de l'Informatique et des Libertés, Privacy Impact Assessment (PIA) Methodology (How to Carry Out a PIA), June 2015
9 Commission Nationale de l'Informatique et des Libertés, Privacy Impact Assessment (PIA) Tools (Templates and Knowledge Bases), June 2015
10 Commission Nationale de l'Informatique et des Libertés, Measure for the Privacy Risk Treatment Good Practices, France 2012

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR AD AND COOKIE POLICY IS LOCATED HERE.