GDPRは、機密データの保存方法に関する基準(および要件)を設定することを目的としています。ただし、揮発性の状態にある機密データにGDPRを適用する方法(またはその場合でも)に関する情報は見つかりませんでした。
例として、ユーザーのデータを(ユーザーの同意を得て)収集し、それを保存している場合はどうでしょうか。しかし、このデータはマシンを通過しますRAM(コンピューター上で実行される他のすべてのものと同様))、マルウェアによって傍受される可能性があるため、機密情報の漏洩を可能にする可能性があります。
GDPRには、揮発性の形式で機密データに対処するセクションがありますか、それとも抜け穴になる可能性がありますか? (主に、メモリ内でデータを暗号化する必要があるかどうかを検討しています)
ただし、GDPRが揮発性状態の機密データにどのように(またはその場合でも)適用されるかについての情報は見つかりませんでした
GDPRは、保管、処理、および転送中のデータを保護することを示しています。
揮発性メモリ内のデータは(ほとんどの場合)、信頼できるプロセス、子プロセス、親プロセス、またはプロセスのみがアクセスできます。基本的に、検査目的でもプロセスが引っ掛からないことを確認してください。機密データは、可変変数にのみ格納されます。これにより、使用後にメモリを無効化できます。すべてのセキュリティパッチを適用し、OSが提供するすべてのメモリ関連の保護メカニズムを有効にするまでは、処理中のある時点でデータはクリアテキストで表示され、問題はありません。私たちの次のタスクは、キャッシュがメモリを保持しないことを確認することです。何らかの理由で機密データを保持することが許可されている場合、機密データを処理するのに十分な時間だけキャッシュを保持します。
GDPRは、機密データの保存だけではありませんが、より一般的です。実際、それは実際には個人データの処理についてです。 GDPRから検討すべきいくつかの興味深い引用を以下に示します(強調を追加)。
記事2(1)-この規則は、個人データの処理完全または部分的に自動化された手段による、および自動化以外の処理に適用されますファイリングシステムの一部を形成する個人データの手段またはファイリングシステムの一部を形成することを目的としています。
リサイタル15-迂回の重大なリスクの発生を防ぐために、自然人の保護は技術的に中立であるであり、使用する手法に依存してはなりません。
記事4(6)-「ファイリングシステム」とは、集中型、分散型のいずれの場合でも、特定の基準に従ってアクセス可能な構造化された個人データのセットを意味しますまたは機能的または地理的ベースで分散。
第32条(1)-技術の現状、実装のコスト、処理の性質、範囲、状況、目的、および権利の可能性と重大度を変化させるリスクを考慮に入れる自然人、管理者、処理者の自由は、リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的対策を実装しなければなりません/特に、必要に応じて:[...]
第32条(3)-第40条で言及されている承認された行動規範または第42条で言及されている承認された認証メカニズムの遵守は、コンプライアンスを実証するための要素として使用できます。 この記事のパラグラフ1に記載されている要件を使用します。
第40条(2)-コントローラーやプロセッサーのカテゴリーを表す協会やその他の団体は、この規則の適用を指定するために、行動規範を作成したり、そのようなコードを修正または拡張したりできます、以下に関して:[...]第32条で言及されている処理のセキュリティを確保するための措置。
第42条(1)-加盟国、監督当局、理事会および委員会は、の目的で、特に連合レベルで、データ保護認証メカニズムとデータ保護シールおよびマークの確立を奨励するものとします。コントローラーおよびプロセッサーによる処理操作のこの規制への準拠を示す[...]
要約すると、組織的な方法で個人データを処理する場合、GDPRがそれに適用されます。揮発性のRAM=に保存されている個人データを含む文字列の配列は、たとえば「ファイリングシステム」と見なすことができます。GDPRは、実装する必要があるセキュリティコントロールの詳細を通知しません。ただし、それはすべて、リスクに適切なセキュリティのレベルに依存することを告げるものであり、コンプライアンスを実証するのに役立つ特定の分野についての認証機関または特定の行動規範があるかもしれないことも告げます。単純な学生のブログを管理する目的でメールアドレスを処理している場合、セキュリティ要件は非常に単純になります。一方、健康データを扱うビジネスを運営している場合は、弁護士に相談する必要がある可能性があります(またはたとえば、複数のISO認証を取得することを検討してください。
短い答え:GDPRでは、暗号化を使用する必要は厳密にはありません。
長い答え:GDPRの範囲で暗号化を確認する方法に関するガイドラインはありません。これは、既存の混乱を考えると、残念です。ただし、暗号化に関するいくつかのガイドラインがあります。ただし、ガイドラインは必須ではありません。
GDPRでは明らかに、個人データの保護とセキュリティに関して組織が適切な技術的および組織的対策を講じる必要がありますが、これは暗号化にはなりません。個人データの暗号化をお勧めします。GDPRはその内容を説明しているため、GDPRは厳密に言えば暗号化を使用する必要があるとは厳密に言っていません。管轄権と監督当局や適切なEU当局などのインスタンスのみが解釈および/またはそれを修正します。特定の状況では、コンテキストとリスクを考慮するときに暗号化が重要です。国家監督当局はまた、実施に関するガイドラインに従い、それについていくつかの決定を下したり、勧告を行ったりすることができます。
個人データ侵害および個人データ侵害通知義務およびその他の義務がある場合、暗号化の質問は通常、いくつかの国家監督当局レベルで表示されます。次に、暗号化を使用する場合と使用しない場合について、スタッフにポリシーを導入することをデータコントローラーに推奨します。そのポリシーは、正確な状況を考慮してすでに確立されているため、必要に応じて揮発性データの暗号化を確実にカバーできます。