GDPR セキュリティ テストと脆弱性評価
GDPR 第 32 条では、セキュリティ対策の「定期的なテスト、評価、および評価」を義務付けています。脆弱性評価と侵入テストは、これを実証するための主要な技術メカニズムです。 KENSAI は、GDPR コンプライアンス プログラムに継続的なセキュリティ テストを組み込むのに役立ちます。
GDPR セキュリティ評価を開始する → デモを予約するGDPR 第 32 条: セキュリティ テスト義務
GDPR の第 32 条では、リスクに応じたセキュリティを確保するために、管理者と処理者に「適切な技術的および組織的対策」を実施することを義務付けています。重要なのは、次のものが明示的に含まれていることです。
「...処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、評価するためのプロセス。」これは、脆弱性評価とセキュリティ テストに対する GDPR の最も明確な義務です。
処理システムの機密性、完全性、可用性、回復力を継続的に確保します。脆弱性管理は、悪用される前に弱点を特定することでこれを直接サポートします。
セキュリティは最初から組み込む必要があります。開発パイプライン (SAST、DAST) でのセキュリティ テストは、設計によるデータ保護の原則を実証します。
🚨 不適切なセキュリティテストのコスト
メタには12億ユーロ(2023年)、アマゾンには7億4,600万ユーロ、WhatsAppには2億2,500万ユーロの罰金が課せられた。多くの GDPR 施行措置では、脆弱性管理が不十分であるなど、適切なセキュリティ対策が導入されていないことが挙げられています。アイルランドの DPC、CNIL、および各国当局はいずれも、詳細な計算における悪化要因として技術的なセキュリティ上の欠陥を挙げています。 GDPR では、罰金は世界の年間売上高の 4% に達する可能性があります。
セキュリティ テストと GDPR の説明責任の対応付け
GDPR の責任原則 (第 5 条(2)) では、管理者がコンプライアンスを実証することが求められています。セキュリティ テストでは、セキュリティ プログラムが効果的であることを示す監査証跡が作成されます。
| GDPR原則 | セキュリティテストがそれをどのようにサポートするか |
|---|---|
| 誠実性と秘密保持 (第 5 条(1)(f)) | 脆弱性スキャンによりデータ保護制御の弱点を特定 |
| 定期試験(第 32 条(1)(d)) | 文書化されたスキャンスケジュールと結果は、進行中のテストプログラムを示しています |
| 説明責任 (第 5 条(2)) | 修復記録は即応性のあるセキュリティ管理を実証します |
| リスクベースのアプローチ (第 32 条(1)) | CVSS スコアリングとビジネス コンテキストにより、リスクに比例したセキュリティが示される |
| データ侵害の防止 (第 33 条から第 34 条) | プロアクティブな脆弱性管理により侵害の可能性が低減されます |
高リスクの個人データに関する特別な考慮事項
GDPR はリスクベースのアプローチを採用しており、セキュリティ要件は処理されるデータの機密性に応じて拡張されます。リスクの高いカテゴリでは、より厳密なテストが必要になります。
- 特別なカテゴリのデータ(健康、生体認証、政治、宗教): より頻繁なテスト、専用の侵入テスト、より厳格な修復 SLA
- 子供のデータ:アクセス制御の強化、年齢確認の厳格化 - セキュリティ テストでは、これらの特定の制御をカバーする必要があります
- 大規模な処理:量が多い = リスクが高い = DPA が期待するより厳格なセキュリティ テスト
- 新しいテクノロジー / プロファイリング:DPIA が必要です。セキュリティ評価は DPIA に付随する必要があります
KENSAI が GDPR 準拠をサポートする方法
✓ 第 32 条 証拠の提出
定期的なテスト プログラムを文書化した自動レポート。タイムスタンプ付きで包括的で、DPA 調査の監査に対応します。
✓ 個人データストアの検出
個人データが含まれる可能性のあるシステムとデータベースを特定し、データの機密性に基づいてセキュリティ テストを優先します。
✓ 侵害リスクの軽減
悪用される前に脆弱性を発見して修正することで、第 33 条に基づく通知が必要なデータ侵害の可能性が直接的に減少します。
✓ サードパーティプロセッサの評価
データ処理者のセキュリティ体制を評価し、処理者を選択するための第 28 条のデューデリジェンス義務を満たします。
✓ 暗号化の検証
個人データが転送中に適切に暗号化されていることを検証し、脆弱な暗号化または壊れた暗号化を使用しているシステムを識別します。
✓ DPIA サポート
セキュリティ評価の出力はデータ保護影響評価に統合され、第 35 条で要求される技術的リスク分析が提供されます。
GDPR に準拠したセキュリティ テスト プログラムの構築
- 個人データの処理をマップします。第 30 条に基づく処理活動の記録 (RoPA) は、テストが必要なシステムを定義します。
- リスク分類:各システムのデータの感度を評価して、テストの頻度と深さを調整します
- テスト スケジュールを定義します。定期的なテストの頻度を文書化します。これは、第 32 条(1)(d) で要求される「プロセス」です。
- 以下を実行して文書化します。スキャンを実行し、結果を取得し、修復し、少なくとも EU データ保持期間の間記録を保持します。
- 年次侵入テスト:特殊なカテゴリのデータを処理するシステムの場合は少なくとも
- サプライヤーのセキュリティ評価:第 28 条の処理者契約とデュー デリジェンスに処理者のセキュリティを含める
GDPR 第 32 条への準拠を実証する
KENSAI は、GDPR 第 32 条への準拠をデータ保護当局に証明するために必要な継続的なセキュリティ テストと文書を提供します。プロアクティブなセキュリティ テストを示すことで、強制的なアクションを回避します。
GDPR セキュリティ テストを開始する → GDPR 専門家に相談する