データ保護の重要性。サイバー攻撃から情報資産を守る3つの対策
近年、民間企業における組織内データの利活用やデータ連携が進展したことで、企業活動の多くがデジタル環境に依存するようになりました。そのような社会環境において、サイバー攻撃やシステム障害、自然災害などのさまざまな脅威からデータを守る“データ保護”は企業にとって欠かせない取り組みといえます。
情報システム部門の担当者のなかには、「重要なデータを安全に保護するにはどうすればよいのか」「データ保護に関する規定はあるのか」などと気になる方もいるのではないでしょうか。
この記事では、データ保護の重要性や具体的な対策、関連する法令について解説します。
目次[非表示]
- 1.データ保護の重要性
- 2.重要なデータを安全に保護する対策
- 2.1.①データの暗号化
- 2.2.②アクセスの制御
- 2.3.③バックアップの実施
- 3.データ保護に関する法令
- 4.まとめ
データ保護の重要性
データ保護を行うと、企業が保有する情報資産の破損・窃取・消失を防ぐことが期待できます。
総務省の『令和5年版情報通信白書』によると、2022年に観測されたサイバー攻撃関連の通信数は2015年の8.3倍となっており、サイバーセキュリティ上の脅威は年々増加傾向にあります。特に、データを暗号化して身代金を要求するランサムウェアの被害がさまざまな企業や医療機関などで続いており、2023年における国内の被害件数は197件と高水準で推移しています。
サイバー攻撃の被害に遭うと企業は経済的に大きな損失を被るほか、場合によっては操業停止につながるケースもあります。そのため、データ保護を含むサイバーセキュリティ対策は、企業活動において損失を減らすために欠かせない投資と考えられます。
出典:総務省『令和5年版情報通信白書』/警察庁『令和5年におけるサイバー空間をめぐる脅威の情勢等について』
重要なデータを安全に保護する対策
重要なデータを安全に保護するための具体的な対策としては、データの暗号化やアクセスの制御、バックアップの実施などが挙げられます。
①データの暗号化
データの暗号化とは、データをほかの文字列に置き換えることで外部の人間がデータの中身を解読できないように処理する手法です。暗号化を元に戻す際は、暗号鍵と呼ばれるその暗号化に対応する文字列を用います。
暗号化を行うと、不正アクセスによってデータを外部に持ち出されても攻撃者にデータの中身を閲覧されることを防げます。ただし、暗号鍵が外部に流出してしまうことで、暗号化が解かれてしまうリスクもあります。
②アクセスの制御
データへのアクセスを制御することで、外部からの不正アクセスや内部不正によるデータの持ち出しを防止できます。
アクセスの制御を行う際は、業務に用いるデータにアクセス権を設定して、権限のある人物だけがアクセスできるようにします。データの種類や重要性に寄ってアクセス権の範囲を決定することが有効です。
③バックアップの実施
データのバックアップを定期的に行っておくと、サイバー攻撃・システム障害・災害などでデータが消失した場合でも、データの復旧ができるようになります。
業務データのバックアップを行う際のポイントは以下のとおりです。
▼安全にバックアップを行うためのポイント
- メディアを使い分ける
- 異なる方法・保管先でバックアップを取る
- クラウドサービスの責任共有モデルを考慮する など
バックアップに使用するメディアによって性質が異なるため、どのようなデータ消失に備えるのかによって適したメディアは異なります。また、バックアップの保管先を離れた場所にしておくと災害への対応が行いやすくなります。
加えて、バックアップにクラウドサービスを利用する場合は、利用するサービス事業者の規約を確認し、データに関する責任を誰が負うのかを確認しておくことが重要です。
ただし、業務の基盤にクラウドサービスを利用している場合は、バックアップの責任はユーザー側となることが多くあります。クラウドサービスを利用しているからといって全てのデータをクラウドサービス上だけに保存するのではなく、ユーザー側でバックアップを取っておくことも必要です。
なお、バックアップのポイントについてはこちらの記事で詳しく解説しています。併せてご確認ください。
データ保護に関する法令
企業活動において管理・収集するデータには、従業員や顧客の個人情報が含まれます。『個人情報の保護に関する法律』(以下、個人情報保護法)では、それらの個人データについて取り扱い方が規定されています。
また、海外の顧客と取引を行う場合、顧客が所在する国の法令が適用されるケースもあります。
出典:e-Gov法令検索『個人情報の保護に関する法律』
個人情報保護法
個人情報保護法とは、個人のプライバシーに関わる情報について、活用の有用性に配慮しながら個人の権利や利益を守るための法律です。
個人情報保護法では、個人データの取り扱いについて以下が定められています。
▼個人情報保護法による個人データの規定
項目 |
概要 |
取得・利用 |
|
保管・管理 |
|
提供 |
|
本人の請求 |
|
内閣府『「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?』を基に作成
出典:内閣府『「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?』
GDPR
GDPRとは、EU域内で施行されている個人データの取り扱いに関する規則です。日本においては一般データ保護規則と呼称されます。
日本に所在する企業であっても、以下に該当する場合には適用対象となります。
▼GDPRが日本企業に適用される場合
- EU域内に子会社や支店がある
- EU域内の個人に商品・サービスを提供している
- EU域内で取得した、もしくは委託を受けた個人データを処理している
GDPRでは個人データの保護について6つの原則が規定されており、適用される企業はこれを守る必要があります。
▼GDPRにおける個人データ保護の基本6原則
原則 |
概要 |
適法性・公平性・透明性 |
個人データは適法・公平・透明性のある手段で処理されなければならない |
目的の限定 |
個人データは明確に特定された目的のために収集されなければならず、目的外利用は原則として禁じられる |
個人データの最小化 |
収集される個人データは、目的のために必要かつ関連性のある範囲で最小限に限られなければならない |
正確性 |
個人データは正確かつ目的に必要な範囲で最新の状態に維持される必要がある |
保管の制限 |
当人を識別できる形式で個人データが保管される期間は、目的のために必要な範囲に限られる |
完全性・機密性 |
個人データは、無権限もしくは違法な処理からセキュリティによって保護されなければならない |
まとめ
この記事では、データ保護について以下の内容を解説しました。
- データ保護の重要性
- 重要なデータを安全に保護する対策
- データ保護に関する法令
サイバーセキュリティにおける脅威は年々増加傾向にあり、企業活動における損失を減らすためにはデータ保護をはじめとする対策が欠かせません。
データの暗号化やアクセスの制御、バックアップの実施などを行うことで、重要なデータをサイバー攻撃から保護することが期待できます。
また、企業で扱うデータには個人情報が含まれるため、個人情報保護法への対応が求められます。また、海外での取引を行う場合はその国の法令も確認しておく必要があります。
『FGLテクノソリューションズ』の社内システム管理運用サービスでは、ITインフラの整備や保守管理、障害対応など、IT分野において幅広いサポートを行っております。
サービスの詳細については、こちらから資料をダウンロードしていただけます。