IoT機器に求められるGDPR対応、対策のポイントを解説：開発段階から検討必須！ あなたの製品のセキュリティ対策（3）（2/2 ページ）

2018年5月、欧州連合（EU）の個人情報保護法であるGDPR（一般データ保護規則）の適用がスタートした。GDPRはデータ漏えいが起きた場合の罰則規定が非常に厳しいことから企業に大きな動揺を与えている。本稿ではGDPRについて今一度簡単におさらいし、IoT機器の開発でGDPR対応に必要な考え方と対策のポイントについて解説する。

[貝田章太郎／テュフ ラインランド ジャパン，MONOist]

IoT機器開発におけるGDPR対応方法

　それではGDPRに対応するため、企業には何が求められるのであろうか。まず第1のステップとして、PIIがどのように収集され、どこに保存され、そして誰によって処理されているのか、といった内容を明確化するデータフローダイアグラムの策定を行うべきだ。この作業はデータフローマッピングと呼ばれ、GDPR対応において最も重要なプロセスであると言っても過言ではない。

データフローダイアグラムの例（クリックで拡大） 出典：テュフ ラインランド ジャパン

　PIIがどのように取り扱われているか、すべて文書化されているケースはほとんどないと思われる。PII取り扱いの文書化プロセスでは、下記のような情報を収集することが求められる。

• 個人情報の収集経路（メール、Webサイト、キャンペーン、展示会）
• 収集している個人情報の種類（氏名、年齢、メールアドレス、IPアドレス、Cookieなど）
• 個人情報を扱っている部署、担当者

　第2のステップとして、技術的な観点からIoT機器に関わる領域のITセキュリティを検証すべきだ。データベースを例にすると、クラウド上のDB（データベース）サーバにPIIが保存されている場合、それらが安全に保存されているか検証する必要がある。具体的には、GDPRでも推奨されているAES 256bitクラスの暗号化手段を用いて、データベースの内容が秘匿化されていることを検証する。また端末とクラウドの間の接続であれば、TLS1.1の利用は推奨されないため、SHA-2をサポートするTLS1.2以上（可能であれば同1.3以上）をサポートするか検証する。

　同じような検証を、OS、DB、Webサーバ、アプリケーション、ネットワーク、Wi-Fi、Bluetooth、USBなどのコンポーネントごとに行う必要がある。このプロセスはGDPRという法令とITの両方に精通した専門家によって行う事が推奨される。

　第3のステップでは社内プロセスの検証を実施する。社内プロセスで最も重要なのは、データ流出が起きてしまった場合の体制構築にある。GDPRではデータ流出が判明して72時間以内に関係機関へ報告することを求めており、事故発生時の対応についてフローチャートを作成するなど事前準備を欠かすことができない。

　第4のステップでは外部との契約関係の検証を行う。例えば、海外における保守作業を現地のサポート専門業者に外部委託したり、マーケティングメールの発送などを委託したりするケースでは、これらの外部ベンダーに顧客の個人情報が共有されることになる。そのため顧客から個人情報を取得するときに、その目的、さらに誰と共有するのか明示することが求められる。これらの情報をプライバシーポリシーやサービス利用契約にきちんと包含できているか検証すべきだ。

　またこれらのベンダーを選定するにあたり、ベンダーが個人情報保護を徹底する体制が構築できているか調査することも望まれる。さらには、これらのベンダーとの間に機密保持契約、個人情報管理について責任範囲を明示した契約を結ぶことも必要だ。

---

　GDPRの対応には法律的観点からの検証だけでは不十分で、ITセキュリティの観点も重要だ。GDPR対応では法律と技術の両面からアクションプランを作成、履行することが重要になるといえるだろう。