51
Implementation
Requirements
個人データへのアクセス、特に変更と削除の記録を残し、データ主体の権利 が保護されていることを実証する必要がある。Article 28
認可された要員だけが個人データの処理に携わるよう規制する。それらの要員には機 密保持を確約させるか、法的義務を課す。
個人データの処理に関連したサービスの提供終了後には、すべての個人データを消去 するか、管理者に返却する。処理者
[Processor]53
Implementation
Requirements
Auditing personal data access and user activities
認可されたユーザのみが、許可された範囲で個人データにアクセスし、処理を 行っていることを立証するために、アクセスの記録を残す。
処理者が、サービス提供後にデータの削除もしくは返却をしたことを立証するた めの記録を残す。 Implementation by tools
特定の個人データに対してアクセスが認可されているユーザのリストを定期的に、レビューする。
認可されていないユーザが、個人データにアクセスをする。
アクセス失敗のアラートが発効される。(C) AMIYA Corporation
Implementation
「アクセス失敗」の抽出 重要データへのアクセス
アラートの発効
(C) AMIYA Corporation 55
Article 32
「リスクに見合うセキュリティレベルを確保するために、適切な技術的および組織的な 対策」を講じる必要がある。処理のセキュリティ
[Security of Processing]the controller and the processor shall implement appropriate technical and organisational
measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
暗号化/仮名化
セキュリティ(機密性・完全性・可用性)の確保
インシデント発生時の可用性とデータの復旧
技術的および組織的な対策の効果の評価
リスクのレベルに応じたデータのセキュリティ必要な対策:
Implementation
不審なアクセスを記録する
夜間、休日にアクセスをしているユーザのリストを出力する。
ログオン失敗のリストを出力する。
退職予定者のアクセスを記録する。
休暇中や病欠中の従業員に関連するログオンアクティビティを検知する。
普段は使われていないアプリケーション経由でのデータベースへのアクセス を記録する。
リモート環境からのログインを記録する。
新規のモバイルデバイスによるシステムへの登録を記録する。57
Report by tools 1
(C) AMIYA Corporation
不審なアクセス
Report by tools 2-1
WebプロキシのログをALog EVAで収集。「転職サイトカテゴリー」のWebサイトの閲覧状況を集計
詳細なアクセスログを見てみると…
同一人物が頻繁に転職サイトを見ている ことが発覚!
59
Report by tools 2-2
(C) AMIYA Corporation
このIPアドレスの持ち主を検索し
「t-suzuki」であることを特定
Report by tools 2-3
「顧客情報」フォルダーに しきりにアクセスしている!
事例
(C) AMIYA Corporation 61
内部不正対策
編大手物流センター様
内部不正による情報漏えいを発生させてしまった 物流大手CT社。再発防止のため、「機密情報」
「管理者権限」「持ち出し」の3つの視点でログ 管理を行うこととした。