個人情報保護の法規則(EUのGDPR)【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.1
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】
問1 クラウド環境におけるセキュリティ対策に関する次の記述を読んで、設問1〜5に答えよ。
X社は、日本、米国、欧州に事業を展開している従業員数80,000名の製造会社であり、重要インフラ設備を製造している。日本国内の従業員数は40,000名である。
X社のシステムは、サーバ、ネットワーク機器及びPCで構成されている。X社の日本国内のネットワークの論理構成を、図1に示す。
従業員が社内PC、並びにWindowsの業務サーバ及び人事サーバにログオンする際は、認証サーバA1による利用者認証が行われる。従業員がWebブラウザを用いてLinux及び専用UNIXの業務サーバにログオンする際は、認証サーバB1による利用者認証が行われる。認証サーバA1は、人事サーバと連携しており、人事サーバの従業員の情報を日次で反映している。認証サーバB1は、認証サーバA1のLDAPサービスを利用している。
X社のシステムには、X社の情報セキュリティ標準、X社が事業を展開している各国及び各地域において特定の製品とそれら製品の技術情報を他国又は他地域に持ち出すことを制限した輸出管理規制、並びに①各国及び各地域の個人情報保護に関する法規則の三つに準拠すること(以下、三つに準拠することを基本要件という)が求められる。基本要件の具体的内容は次のとおりである。
- R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
- プロジェクト専用サーバには、プロジェクトルーム内のプロジェクト専用PCからだけアクセスさせる。
- 生産関連サーバは、X社の工場及びデータセンタに配置する。
- 生産関連サーバは、重要インフラ設備の製造の事業継続のために、バックアップを他の工場又はデータセンタに配置する。
- 各国及び各地域の輸出管理規制への準拠のために、同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。日本国内では、システムを東日本地区のシステムと西日本地区のシステムに分け、東日本データセンタと西日本データセンタにそれぞれサーバを配置する。
- X社のシステムの機器には、プライベートIPアドレスを割り当てる。
- 社外ネットワークとX社社内ネットワークを接続する際は、次のようにする。
- X社が管理するFWとIPSを介して接続する。
- FWで、業務上必要な通信だけを許可する。
- IPSとセキュリティベンダの監視サービスを併用して、攻撃が疑われる通信を検知・遮断する。
X社は、米国におけるビジネスの強化、ITを活用した新しいビジネスの開発、並びにシステム部門の役割をシステム運用からビジネス企画及びシステム企画へシフトするために、各国及び各地域のシステムをクラウド環境に移行することにした。X社の経営層は、クラウド環境への移行に関して次の方針を示し、X社システム部門に具体的な検討を指示した。
方針1 メールシステムをクラウドベンダM社のSaaS Qに、業務システムのうち二つのシステムをクラウドベンダS社のSaaS Sに、それぞれ1年以内に移行する。各国及び各地域とも同じ方針で移行するが、SaaSの契約はそれぞれの国又は地域で行う。
方針2 他のシステムは、クラウドベンダH社が提供するIaaS Cの仮想マシン上に5年間で段階的に移行する。ただし、移行できないもの又は移行すると基本要件を満たせなくなるものは移行しない。また、IaaS Cの仮想マシン上に移行したサーバのOS及びミドルウェアの運用管理にはSIベンダJ社の運用サービスを利用する。
IaaS Cの主なサービス仕様の内容は次のとおりである。
- データセンタは、日本国内1か所、海外60か所に配置され、それらが高速の閉域網で相互に接続されている。データセンタ間の通信は課金されない。
- オプションサービスとして災害対策のサービスが提供されている。日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される。
- ネットワーク及び仮想サーバは、H社の情報セキュリティ標準に基づいてセキュリティ管理が行われており、顧客企業には監査法人によるセキュリティ管理の監査報告書が開示される。
- あらかじめ予約されているプライベートIPアドレスがあり、利用者はそれらを使うことができない。
①について、2018年5月25日に適用が開始された欧州連合の規則の略称を英字4字で答えよ。:GDPR
GDPR(General Data Protection Regulation EU一般データ保護規則)とは、EUにおける個人データ保護を強化するために制定された法律です。
EU圏内で活動している組織が対象になるだけでなく、EU圏内にいるユーザのデータを取得する場合もGDPRの範囲に含まれます。
つまり、EUに商品やサービスを提供していたり、EUから個人データの処理を委託されている組織もDDPRの対象に含まれることになります。
また、個人データとしては、IPアドレスやCookieなどネットワーク上の識別情報も個人情報とみなされることに注意が必要です。
ちなみに、GDPRに違反した場合の罰則としては、企業の売上高の4%以下、または2,000万ユーロ(1ユーロ116円で約23億円)以下のいずれか高い方が適用されるとのことで、非常に高額です。