さらに、NCCoE の草案では、図3に示す通り、サイバーセキュリティとプライバシーリスクの関係を説明している。
サイバーセキュリティリスクが、機密性(Confidentiality)、完全性(Integrity)または可用性(Availability)の損失に起因したサイバーセキュリティインシデントに関連するのに対して、プライバシーリスクは、データ処理に起因するプライバシーインシデントに関連するものであり、両者が重なる部分に、サイバーセキュリティ関連のプライバシーイベントがあるとしている。
上記の関係をBYODに当てはめると、BYOD環境を通して、権限のない機器による組織のネットワークへの接続が可能になることがあるが、そのセキュリティリスクが、プライバシーに影響を及ぼすとは限らない。他方、雇用主(例:医療機関)が、従業員(例:医療従事者)の個人利用アプリケーション(例:個人の連絡先、カレンダー)へのアクセスを拡大しようとした場合、セキュリティおよびプライバシー双方のリスクが高まると考えられる。また、雇用主が、従業員の訪問先などの位置情報を追跡するためにBYOD機器を利用する場合、セキュリティに直接起因するリスクではないが、プライバシーリスクとなる可能性がある。
このようなことから、BYOD環境を利用する場合、セキュリティ管理策とプライバシー管理策を連携させて、漏れがないように心掛ける必要がある。特に、米国の医療では、本連載第64回で取り上げたHIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)に基づくプライバシー規則(関連情報)およびセキュリティ規則(関連情報)双方の順守が必須である。BYOD環境下に、医療データ保護支援機能などを組み込めれば、テレワークを行う医療従事者の負荷も軽減されることになる。
次に、NCCoEの草案では、BYODアーキテクチャについて、以下のような点を整理している。
これらのうち、BYODアーキテクチャに対する脅威および軽減策に関連して、図4に示すような形で、セキュリティとプライバシーの目標を達成するためのアーキテクチャを例示している。
このアーキテクチャ上では、以下のようなセキュリティおよびプライバシーに関する留意事項が示されている。
さらに、ソリューション事例目標の支援技術として、以下のようなソリューションを例示している。
Copyright © ITmedia, Inc. All Rights Reserved.