「安全」とは何か　ー法的・技術的な「セキュリティ」の理解と実装ー

「会社を守るにはどうすればいいのか」と、頭を悩ます企業は少なくありません。ここでの「守る」には、①企業秘密を守ると、②コンプライアンスを守るの２つがあります。

この２つの「守る」を一度に実現する魔法のような対策は残念ながらありません。例えば、守秘義務の締結は犯罪の抑制には直結しませんし、ウェブサイト上のプライバシーポリシーでデータ保護についての情報を公開することでコンプライアンス遵守はできても、ハッカーの攻撃を防ぐことはできません。また、従業員データを取扱うために技術的な対策（暗号化、アクセス制限等）をしっかり実装しても、法の知識が足らず不適切なデータを収集してしまっては元も子もありません。

上の例からも分かるように、「セキュリティ」について考える際には常に２つの観点が必要です。法的なセキュリティ対策では、ビジネス上での一般的なミス、法律違反、そしてそれに伴う罰金から企業を守ることができます。一方で技術的なセキュリティ対策では、外部の脅威から会社を守ったり、社内ルールを守ったりするのに役立ちます。

法的なセキュリティ
法的なセキュリティとは、企業が自社、そして自社の活動を法的に保護するために実装することができるすべての法的対策のことです。例えば、契約書、秘密保持契約書および社内ルール等の社内文書、ならびに組織的措置、監査、業務委託先の調査、利害の均衡をはかること等がこれに含まれます。

EU一般データ保護規則（General Data Protection Regulation: GDPR）では、個人を過度な個人データ処理から守るために企業が守るべきルールを定めています。これらのルールを守れない企業には、データ保護監督当局から警告や罰則が出されたり、被害を受けた個人から損害賠償金を請求される等のリスクがあります。個人データの保護の第一歩は、取扱うデータを決めることです。目的達成に必要なデータのみを取扱うことで、企業は法的に自社を守ることができるのです。

一般的には、データと企業秘密の安全性は、それらの取扱いに携わる人間が自身の持つ権利と義務について把握しているかに大きく左右されると言われています。

技術的なセキュリティ
技術的なセキュリティとは、企業がデータの「機密性」、「完全性」および「可用性」を実現するために実装することができる全ての技術的な対策のことです。場合によっては、この３つに加えてさらなるセキュリティ目標が設定されることもありますが、ここではこの３つにフォーカスしてお話しをしていきます。

「機密性」が目指すのは、それぞれが自分に与えられた権限内でアクセスできる情報のみを受け取れるようにすることです。例えば、データの暗号化は、外部の第三者が不正に機密データにアクセスすることを防ぐのに有効です。

「完全性」が目指すのは、データが全部揃っていて、欠損や不具合がない最新の状態にすることです。例えば、データをコピーする際に、ファイルが全く同じものでエラーが発生していないかを確認することで、データの完全性を確保することができます。

「可用性」が目指すのは、何らかの障害が発生してもシステムが継続して稼働し続けられるようにすることです。例えば、定期的にバックアップをとることで、万が一障害が発生したとしても必要なデータを短時間で取り戻すことができます。

最後に
法的そして技術的なセキュリティは密接に関係しており、切っても切り離すことができません。ファイアウォールが外部の攻撃から企業を守ることはできても、社内のスクリーンに映し出された情報を社外に持ち出そうと企む訪問者からは守ることはできないように、技術的な対策では守りきれない箇所を、秘密保持契約書等の法的対策がカバーしているのです。

「『安全』とは何か」シリーズの第二号では、今回取り上げた２つの「セキュリティ」の観点から、日常業務に関わるさまざまな事例をご紹介します。