本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
想定を超えるデータ保护のリスク
「自社がオンラインで展开している事业において、どれくらいのデータが経済安全保障のリスクにさらされていると考えていますか」。これは、経済安全保障の観点でデータ保护に関する协议を行う际、最初に问うべき事项です。経済安全保障におけるデータ保护のリスクとは、(1)サプライチェーン上のどこかで海外にデータが移転しており、(2)そのデータが事业における本来の目的以外で利用される危険性と定义されます。
デジタル化の推进に伴い、顾客にサービスを提供する际に生成されるデータ量は膨大になっています。加えて、クラウドなどの滨罢サービスで海外ベンダーを积极的に活用している実态も考虑するならば、国境を越えたデータの流通なしではもはやサービスを提供することは不可能と言えるでしょう。
笔者はこれまで、金融机関を含む多くの日本公司に冒头の质问を行ってきました。その际、ほとんどの情报セキュリティ担当者が、あまりイメージが涌かないとしながらも「多くても5%未満」と回答しました。その后、どれくらいのデータが海外に移転し、かつ目的外利用を防ぐ十分な対策が讲じられているかを简易的にリスク评価しています。その结果、评価対象の事业におけるデータの10~20%に、経済安全保障におけるデータ保护のリスクがあるという実态が明らかになりました。
业务に潜むリスクへの対応
このような认识と実态のギャップが生じる原因はどこにあるのでしょうか。おそらく経済安全保障におけるデータ保护のリスクを正しく理解しておらず、実际にはリスクがあるものの、それを想定できていないからではないかと考えます。
たとえば、データの越境移転について、担当者は「移転」という言叶のイメージから、海外に保管されているデータがないか気にしていることが多々あります。しかし、「移転」を経済安全保障の観点で解釈すると、海外からデータが閲覧できる状态を含む概念と捉える必要があるのです。
すなわち、海外の拠点や子会社に加え、海外の取引先や委託先等が、日本で保管するデータにアクセスできるケースも该当することになります。残念ながら、日本公司でそのような事象まで念头に置いて、网罗的に対策を行っているケースは非常に少ないと考えます。
加えて、本来の目的以外で利用されるリスクをどこまで広く捉えるかにも留意する必要があります。自身の个人データを提供する侧の顾客目线で考える场合、「利用」とは、データのコピーや外部に持ち出されるリスクは当然ながら、閲覧できる状态もリスクがあるものと想定すべきです。谁かがデータを閲覧しようと思えばそれができる状态は、データを取り扱う业务のあらゆるところで起こり得ると気付くでしょう。
あるべき対策の方向性
経済安全保障の観点では、そもそもデータ保护のリスクを正确に把握することに难しさがあります。そのため、どのようなアプローチで评価し、対策を进めていくかの検讨が重要となります。有効な対策の1つは、事业におけるデータの一连の流れについて、「何を」「どこで」「谁が」「どうやって」データを取り扱っているかを丁寧に追うことです(図表参照)。
【事业におけるデータの把握と経済安全保障の観点での対策例】
出典:碍笔惭骋作成
「何を」の観点では、どういった项目?性质のデータが、どの程度のボリュームで保管?提供されているかを起点に、それが保护すべき価値があるものか、重要性を议论すべきでしょう。避けるべきは、保护すべきデータが、大量かつ不要な范囲に共有されている状态です。情报管理区分の见直しや、重要性に従った共有范囲制限のルール化が有効な対策となります。
「どこで」の観点では、サプライチェーンの末端まで目を向ける必要があります。金融机関グループにおいては、滨罢インフラの运用をグループ会社に委託していることが多いですが。、そのグループ会社も外部の滨罢ベンダーに作业を委託し、さらに実际の运用にあたる人员は、滨罢ベンダーの再委託先から派遣しているケースが珍しくありません。その际、データを扱う再委託先がどこに所在しているかを确认し、十分な情报セキュリティ対策を讲じられているか可能な范囲で调査しておくことが望ましいでしょう。
「谁が」の観点では、データへのアクセス権限を持つメンバーを必要な范囲に绞り込み、アクセス権限を适切に付与?维持していくことがカギとなります。
「どうやって」の観点では、データを処理するハードウェアやソフトウェアなどの滨罢システムにおいて、海外への情报漏洩のリスクの悬念がないかを検讨することを意味します。ここでも「どこで」の観点と同様に、サプライチェーンの隅々まで対策を讲じていくことが肝要です。たとえば、直接の委託先に対して再委託先を制限する、あるいは再委託先に関する状况を评価できるような仕组みを契约时に盛り込むことが1つの対策になるでしょう。
本连载では、7回にわたり金融机関に求められるサイバーセキュリティに関する最新トピックを解説しました。本连载が、复雑化するサイバーセキュリティ対応の一助となれば幸いです。
週刊 金融財政事情 2024年5月28日掲載(一部加筆?修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写?転載は禁じます。
执笔者
碍笔惭骋コンサルティング
パートナー 勝村 学
