GDPR は、EU向けにサービスを出すなら意識すべき個人データ保護の法律です。「難しい法律」と身構えがちですが、技術者が実際にやることは、集める個人データを減らし、暗号化し、認可で触れる人を絞り、漏洩を速やかに検知できるようにする——という日々の防御と地続きです。ここでは要点と、技術・運用で押さえるべき防御の基本を、攻撃手順を扱わずに整理します。
何が求められるのか
法律の細部より、防御として効く運用の柱を押さえます。
集めない・持たない(データ最小化)
目的に必要な最小限の個人データしか集めない・保持しない。持たないデータは漏れない——これが最も強い防御。不要になったら消す。
安全に守る(暗号化・アクセス制御)
個人データを暗号化し、認可で『触れてよい人だけ』に絞る。秘密は公開面の外へ(→ 公開ディレクトリに秘密を置かない)。
検知して通知できる(72時間ルール)
漏洩を速やかに検知し、影響を追跡できるログを持つ。原則72時間以内に当局へ通知する体制を用意する。検知の仕組みが無ければ義務も果たせない。
『無関係』とは限らない
GDPR はEU域内の人々に商品・サービスを提供したり行動を監視したりする場合、事業者がどこにあっても適用され得ます。EU向けにサービスを出している・EU利用者の個人データを扱っているなら、『日本の会社だから無関係』とは限りません。まずは自分がどの個人データをなぜ持っているかの棚卸しから始めるのが実務的です。
当サイトの視点:規制対応と防御は同じ方向を向く
GDPR の要求は、当サイトが日頃言っている防御と同じ方向を向いています。個人データを最小化し、暗号化し、認可で絞り、漏洩を検知・記録できるようにする——これは法令のためだけでなく、そもそも事故を減らすための基本です。規制を『追加の負担』ではなく『防御の再確認』として使うのが、小規模運営にとって現実的な向き合い方です。
次に読む
- 基礎:認証と認可の違い(データを所有者で絞る)/ セキュリティ最低限チェックリスト
- 用語:公開鍵暗号 / PCI DSS(機微データを扱う別の基準)
- 関連:OWASP Top 10 / セキュリティの歴史(年表)
出典
- 欧州委員会 GDPR(公式): commission.europa.eu
よくある質問
QGDPR は日本の事業者にも関係しますか?
関係し得ます。GDPR はEU域内の人々に商品・サービスを提供したり、その行動を監視したりする場合、事業者がどこにあっても適用され得ます。EU向けにサービスを出している、EUの利用者の個人データを扱っている、といった場合は対象になり得るため、『日本の会社だから無関係』とは限りません。
QGDPR で技術的に押さえるべき要点は?
大きくは、①適法な根拠(同意など)を得て、目的を明確にする ②必要最小限のデータしか集めない・持たない(データ最小化) ③個人データを暗号化・アクセス制御で安全に守る ④本人の開示・削除の求めに応じられるようにする ⑤漏洩を速やかに検知し、原則72時間以内に当局へ通知できる体制を持つ、です。
Q漏洩したらどうすればよいですか?
GDPR では、個人データの漏洩を認識したら原則72時間以内に監督当局へ通知する義務があります(本人への通知が必要な場合も)。だからこそ、事故を『速やかに検知できる』こと、影響範囲を『追跡できる』ログがあることが前提になります。検知と記録の仕組みが無いと、通知義務すら果たせません。