日本の個人情報保護法へのデータセキュリティコンプライアンス

規制の概要

個人情報の保護に関する法律（個人情報保護法）─ 個人情報の保護に関する法律（平成15年法律第57号）は、個人データの収集と処理に適用される主要な法律であり、2017年と2022年にそれぞれ改正されています。

個人情報保護法では、個人情報保護法の適用と解釈、およびその要求事項に関するガイドラインを発表することができる規制組織である個人情報保護委員会を設置しています。 

個人情報の保護に関する法律についてのガイドライン（通則編）─ 個人情報保護委員会が発表し、以下の10章で構成されています。

• 第1章：目的及び適用対象
• 第2章：定義
• 第3章：個人情報取扱事業者等の義務
• 第4章：「勧告」、「命令」、「緊急命令」等についての考え方
• 第5章：適用除外
• 第6章：適用の特例
• 第7章：学術研究機関等の責務
• 第8章：域外適用
• 第9章：ガイドラインの見直し
• 第10章：講ずべき安全管理措置の内容

日本に拠点を置く組織は、データ主体の個人データを取り扱うは個人情報保護法の要件に従わなければなりません。外国の組織である場合は、以下の3つの条件を満たすと個人情報保護法の対象となります：

• 個人情報の範囲：個人情報保護法は、組織が日本のデータ主体の個人情報を取り扱う場合に適用されます。
• 地理的範囲：製品およびサービスを提供する目的でデータ対象者の個人データを収集し、外国でデータ対象者の個人データを取り扱う場合、個人情報保護法要件の対象となります。 
• 適用範囲：個人情報保護法は、個人データの「取り扱い」に適用されます。取り扱いとは、個人情報の収集、保有、利用、移転その他の取扱いをいいます。

Thalesは、高度な暗号化と鍵管理の以下の要件に対する必須の個人情報保護要件に対応することで、日本の組織が個人情報の保護に関する法律（個人情報保護法）に準拠できるよう支援します。

要件：2-1：個人情報、3-5-3-1：報告対象となる事態、10-3：組織的安全管理措置

暗号化とトークン化によって、個人情報などのセンシティブデータ保護が可能になります。組織は、データセキュリティ向上のために、暗号鍵自体を保護、管理、制御する必要があります。

センシティブデータの保護

• 包括的なデータセキュリティ機能を提供するCipherTrust Tokenizationを利用すれば、組織はセンシティブデータを保護することができます。これには、アクセス制御によるファイルレベルの暗号化、アプリケーションレイヤーの暗号化、データベース暗号化、保存データのマスキング、ポリシーベースの動的データマスキング、ボルトトークン化などが含まれます。CipherTrust Transparent Encryption（CTE：透過的暗号化）は、一元化された鍵管理、特権ユーザーアクセス制御、詳細なデータアクセスの監査ロギングを備えた保存データ暗号化を提供します。これにより、オンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれにデータが存在していてもデータが保護されます。

コントロール：

• この規制では、データと暗号化鍵に対する承認済みアクセスと不正アクセスの監視、検知、制御、報告ができることを組織に求めています。組織はデータへのアクセスを制御し、CipherTrust Manager、CipherTrust Cloud Key Management （CCKM）、CipherTrust Data Security Platformで鍵管理を一元化することで、強力な職務分離を実現し、非常にきめ細かな最小特権ユーザーのアクセス管理ポリシーを実施することができます。

要求：10-6：技術的安全管理措置

ネットワーク暗号化は移動中データの保護を可能にし、ランサムウェア保護ソリューションは組織がサイバー攻撃を検知し、センシティブデータを保護するのを助けます。

• Thales High Speed Encryptors（HSE）は、ネットワークに依存しない移動中データの暗号化（レイヤー2、３，4）を提供し、サイト間の移動またはオンプレミスとクラウド間の移動においてデータを確実に保護します。
• CipherTrust Transparent Encryption Ransomware Protection（CTE-RWP）は、ランサムウェア攻撃からファイルやフォルダを保護する非侵入型の方法を提供します。これは異常なI/Oアクティビティを継続的にモニタリングし、ランサムウェアがエンドポイントやサーバを完全掌握する前に、悪意あるアクティビティについてアラートを発し、これをブロックします。