スキルアップカレッジ データ保護と個人情報——情報を守るルール
レッスン6:データ保護と個人情報——情報を守るルール
このレッスンで学ぶこと
- 個人情報保護法の基本(個人情報・個人データ・要配慮個人情報)を理解する
- データ分類(公開・社外秘・極秘)の発想を持つ
- 暗号化されたバックアップと「3-2-1 ルール」を実践できる
- データの削除・廃棄の現実的な方法を知る
- クラウドストレージの利用時の注意点を意識する
- データの持ち出し・共有の判断軸を持つ
前のレッスンでは、暗号化・VPN・ファイアウォール・ゼロトラスト概要を扱いました。本レッスンは、毎日触れている「データそのもの」を守るルールに踏み込みます。技術用語より、業務の中で「これはどう扱うべきか」を判断できる発想を中心に整理します。
個人情報保護法の基本
日本の個人情報保護法は、個人情報を扱う事業者に義務を課す法律です。2003 年に成立し、2017 年・2020 年・2022 年と数回の改正を経て、2024〜2025 年にも改正の議論が進んでいます。
用語の整理
| 用語 | 定義 |
|---|---|
| 個人情報 | 生存する個人を識別できる情報。氏名、住所、メールアドレス、顔写真など |
| 個人データ | 個人情報を体系的にまとめたデータベース内の情報 |
| 保有個人データ | 事業者が開示・訂正・利用停止の権限を持つ個人データ |
| 要配慮個人情報 | 人種、信条、社会的身分、病歴、犯罪歴など、特別な配慮を要する情報 |
事業者の主な義務
- 利用目的の特定と通知:個人情報を何に使うかを明示
- 適切な取得:違法な手段で取得しない
- 安全管理措置:漏洩・滅失・改ざんを防ぐ管理
- 第三者提供の制限:本人同意なく第三者に提供しない(例外あり)
- 開示・訂正・利用停止への対応:本人の請求に応じる
漏洩時の報告義務
2022 年改正以降、一定規模・一定条件の漏洩は、個人情報保護委員会への報告と本人への通知が義務化されました。「うっかり漏らした」では済まされない時代です。
💡 ポイント 「個人情報=氏名と住所」と思いがちですが、メールアドレス単体や、複数情報を組み合わせて個人を特定できるデータも個人情報です。SaaS のユーザー ID、顔写真、声紋、位置情報なども含まれます。
GDPR と海外法制
海外取引や海外拠点を持つ組織は、海外の個人情報保護法も意識する必要があります。
GDPR(EU 一般データ保護規則)
- 2018 年施行、EU 域内の居住者の個人データに適用
- 「域外適用」:EU 居住者のデータを扱う海外企業にも適用
- 違反時の制裁金は最大「全世界売上の 4%」または 2000 万ユーロのいずれか大きい方
- 「忘れられる権利」「データポータビリティ権」など強い個人の権利を保障
米国の州法
- カリフォルニア州 CCPA(2020 年)、CPRA(2023 年)
- バージニア州、コロラド州、コネチカット州なども独自法を制定
- 「アメリカ全体」ではなく州ごとに違う点に注意
中国・東南アジア
- 中国の個人情報保護法(PIPL、2021 年施行)
- ベトナム、タイ、シンガポールなどでも個人情報保護法が施行
- データの国内保管要件(データローカライゼーション)が論点
📝 補足 「日本企業だから日本法だけ守ればよい」では済まない時代です。海外顧客・海外拠点・海外クラウドを使う事業は、複数の法制度の影響を受けます。法務・コンプライアンス部門との連携が必須です。
データ分類
「すべてのデータを同じレベルで守る」のは現実的に不可能です。データの重要度に応じて分類し、保護レベルを変える発想が必要です。
一般的な 3 段階分類
| 分類 | 内容 | 例 |
|---|---|---|
| 公開(Public) | 誰でも見てよい情報 | 公開済みのプレスリリース、Web サイトの公開記事 |
| 社外秘(Internal) | 社員向け、社外に出さない情報 | 社内マニュアル、組織図、社内通達 |
| 極秘/機密(Confidential) | 限定された関係者のみ、漏れれば重大な損害 | 顧客情報、人事情報、財務情報、技術情報 |
組織によっては、4〜5 段階の細分類を持つこともあります(極秘の中で「Top Secret」と「Secret」を分けるなど)。
分類による保護レベルの違い
- 公開:暗号化不要、誰でも見られる
- 社外秘:社内通信は基本、社外送信は暗号化推奨
- 極秘:保存・通信のすべてで暗号化、アクセスは権限管理、ログ監査必須
「全部極秘」も「全部公開」も非現実的
「念のため全部極秘」と分類すると、運用が回らなくなります。「全部公開」では情報が守れません。データの実態に合わせた分類が、運用と保護の両立に効きます。
💡 ポイント 自分が日々扱っているデータを、「公開」「社外秘」「極秘」のどれに該当するか、頭の中で分類してみてください。多くの社員にとって、これだけでもセキュリティ意識が大きく変わります。
バックアップ——可用性の最後の砦
バックアップは、可用性(必要なときに使えること)を守る最も基本的な仕組みです。
なぜバックアップが必要か
- ランサムウェアでファイルが暗号化された
- 機器故障でデータが消えた
- 人為ミスで重要ファイルを削除した
- 災害でシステムが破壊された
これらすべての状況で、バックアップが無事であれば復旧できます。
3-2-1 ルール
業界で広く使われるバックアップの基本ルールが「3-2-1」です。
- 3 つのコピー:オリジナル含め 3 つのデータを持つ
- 2 種類の媒体:HDD と SSD、ローカルとクラウドなど、種類を分ける
- 1 つはオフライン:ネットワークから切り離された場所(ランサムウェアから守る)
ランサムウェア時代、特に重要なのが「1 つはオフライン」です。ネットワーク経由で全バックアップを暗号化される事例があり、物理的に切り離されたバックアップは最後の砦になります。
バックアップの検証
「バックアップを取った気になっていたが、いざ復旧してみたら使えなかった」は、現場でよくある悲劇です。
- 定期的な「復旧テスト」を実施する
- バックアップが破損していないかチェックする
- 復旧の手順書を整え、訓練する
⚠️ 注意 「クラウドバックアップだから安全」と思っていたら、設定ミスでクラウド側のバックアップごと消えた、というケースもあります。「バックアップは取る」だけでなく、「定期的に復旧テスト」「複数経路で持つ」を組み合わせるのが基本です。
データの削除・廃棄
「いらなくなったデータは消す」のは、地味ですが大切な運用です。
なぜ削除が大切か
- 持っているデータが少ないほど、漏れたときの被害が小さい
- 個人情報保護法上、「利用目的の達成に必要な範囲」を超えた保管は問題
- 古いデータが古い手口で侵害される(クレデンシャルスタッフィングなど)
削除と「論理削除」の違い
- 論理削除:データベース上で「削除フラグ」を立てるだけ。実際のデータは残っている
- 物理削除:実際にデータを上書き・破棄する
「削除した」と思っていたデータが、論理削除だけで実際は残っていた、というのは現場でよくあります。重要データの削除は、物理削除まで含めて運用を設計します。
媒体の廃棄
- HDD・SSD の廃棄:データ消去ソフトでの上書き、または物理破壊(ドリル・破砕)
- 紙書類の廃棄:シュレッダー(クロスカット推奨)
- スマートフォンの廃棄:工場出荷時リセット+暗号化のオン
特に問題になりやすいのが、退職時の私物 PC・スマホです。会社のデータが私物に残っていないかの確認が必要です。
💡 ポイント 「捨てる」「廃棄する」というのは、技術的にも組織運用としても、思った以上に難しい作業です。中古市場で売られた HDD から個人情報が読み取られた事件は、いまも繰り返し発生しています。
クラウドストレージの利用
Google Drive、OneDrive、Dropbox、Box、iCloud などのクラウドストレージは、業務でも個人でも広く使われています。利便性は高い一方、設定や運用次第でリスクが大きく変わります。
よくあるリスク
- 共有リンクの公開化:「リンクを知っている人なら誰でも閲覧」設定が広がりすぎる
- 個人アカウントへの業務データ混入:会社の機密情報を個人 Google Drive に保存
- 退職者のアクセス継続:退職者の個人アカウントが業務データの共有を受けたまま
- アクセス権限の野放し:誰が何にアクセスできるか把握できない状態
設定の基本
- 共有リンクの権限:「特定の人のみ」「閲覧のみ」など最小に
- 公開リンクは原則禁止:本当に公開すべき情報以外、誰でもアクセス可能なリンクは作らない
- 組織のアカウントで管理:個人アカウントに業務データを置かない
- 定期的なアクセス権限の棚卸し:四半期ごとに「不要な共有」を解除
シャドー IT との関係
シャドー IT(IT 部門の許可なく社員が使うクラウドサービス)も、データ保護の論点になります。便利だから個人で使うサービスが、機密情報の漏洩経路になり得ます。レッスン 8 で詳しく扱います。
📝 補足 クラウドストレージのアクセス権限を一覧化するツール(Google Workspace の「監査ログ」、Microsoft 365 の「コンプライアンスセンター」)を、年に 1 度は使って棚卸しすることをおすすめします。
データの持ち出し・共有の判断軸
業務でデータを社外と共有する場面は多いです。「どこまで何で送ってよいか」の判断軸を持っておくと、迷いが減ります。
判断軸
- データの分類は何か:公開・社外秘・極秘
- 送り先は誰か:取引先か、不特定多数か、関係者の関係者か
- 目的は何か:契約上必要か、利便性のためか
- 手段は何か:暗号化メール、社内ファイル共有、クラウドストレージ、紙の郵送
一般的な原則
- 極秘データを暗号化されていない経路で送らない
- パスワード付き ZIP は、現代では推奨されない(PPAP の議論)
- クラウドストレージの「期間限定リンク」「IP 制限」を活用
- 紙の書類は配達証明・親展で送る
PPAP の問題
PPAP(Password-protected ZIP file, Password, Attached, Protocol)は、暗号化された ZIP ファイルとパスワードを別メールで送る伝統的な方法ですが、近年は次の理由で推奨されていません。
- ZIP のパスワードは強度が弱く、攻撃に弱い
- パスワード別送でも同じ経路(メール)なので意味が薄い
- マルウェア検査が ZIP の中まで届かない
- 受信者側の手間が大きい
代替策として、組織のファイル共有サービス、クラウドストレージの権限付きリンク、メール自体の TLS/S/MIME 暗号化などが推奨されています。
⚠️ 注意 「うちの会社のルールが PPAP だから仕方ない」という現場の声をよく聞きます。これは古いルールが残っているケースです。情シスや CSIRT に「PPAP の代替策を検討してほしい」と提案する余地があります。
講師の現場メモ:「シュレッダーされなかった人事資料の話」
私(関口)が金融機関出向時代の話です。年度末の人事評価作業が終わり、評価資料の紙の控えが大量に出ました。手順では「シュレッダー処理」となっていたのですが、当時は手動運用で、夜に持ち帰って自宅で処理する人もいる、というゆるい運用でした。
ある日、社内通報窓口に「人事資料が地下鉄の網棚に置き忘れられていた」との連絡が入りました。発見者は隣の駅で電車を降りる際に気づいた善意のサラリーマンで、警察に届けてくれていました。
調査すると、
- 人事課の担当者が、自宅で処理するつもりで通勤バッグに入れていた
- 帰路の電車で、急ぎの電話を取るためにバッグを網棚に上げた
- 電話に集中して、降りるときにバッグを置き忘れた
- バッグの中には数百人分の評価コメント、給与情報、上司による所見が含まれていた
幸い、警察に届けられたため公表前に回収でき、外部流出は確認されませんでした。しかし、組織として大きな衝撃でした。
この事件の後、私たちは運用を全面的に見直しました。
- 物理的にシュレッダー設置エリアを増やす
- 持ち帰り処理を全面禁止
- すべての処理を社内で完結
- 機密書類の運搬には封印テープ付き専用箱を使う
- 月次でシュレッダー処理ログを管理者がチェック
電子データの世界でも、同じ構造の事故は起きます。「捨てる」「廃棄する」が、思った以上に難しい作業であることを、この事件は教えてくれました。
このときに学んだのが、「データ保護は、技術より運用の徹底」だということです。立派なルールがあっても、現場でゆるい運用が許されていれば、いつか事故は起きます。本コースで「分類」「削除」「廃棄」を地味に強調するのは、この網棚のバッグの記憶があるからです。
まとめ
このレッスンでは、以下のことを学びました。
- 個人情報保護法は事業者に利用目的の特定・安全管理・漏洩報告などを義務付ける
- GDPR は EU 域外の企業にも適用され、違反時の制裁金が大きい
- データ分類(公開・社外秘・極秘)は守りたいレベルに応じた保護の前提
- バックアップは可用性の最後の砦。3-2-1 ルールと復旧テストが基本
- 削除は「論理削除」と「物理削除」を区別し、媒体廃棄まで責任を持つ
- クラウドストレージは共有リンクの権限・アクセス権限の棚卸しが基本
- データの持ち出し・共有は「分類」「送り先」「目的」「手段」の 4 軸で判断
- PPAP は推奨されない時代。代替策(ファイル共有・期間限定リンク・TLS/S/MIME)への移行が進行中
次のレッスンでは、インシデント対応の基本——気づき・報告・対応・復旧——を CSIRT の現場感覚を踏まえて扱います。
確認クイズ
このレッスンの理解度をチェックしましょう。