• 1000
Article Posted date 05 November 2024

本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

想定を超えるデータ保護のリスク

「自社がオンラインで展開している事業において、どれくらいのデータが経済安全保障のリスクにさらされていると考えていますか」。これは、経済安全保障の観点でデータ保護に関する協議を行う際、最初に問うべき事項です。経済安全保障におけるデータ保護のリスクとは、(1)サプライチェーン上のどこかで海外にデータが移転しており、(2)そのデータが事業における本来の目的以外で利用される危険性と定義されます。

デジタル化の推進に伴い、顧客にサービスを提供する際に生成されるデータ量は膨大になっています。加えて、クラウドなどのITサービスで海外ベンダーを積極的に活用している実態も考慮するならば、国境を越えたデータの流通なしではもはやサービスを提供することは不可能と言えるでしょう。

筆者はこれまで、金融機関を含む多くの日本企業に冒頭の質問を行ってきました。その際、ほとんどの情報セキュリティ担当者が、あまりイメージが湧かないとしながらも「多くても5%未満」と回答しました。その後、どれくらいのデータが海外に移転し、かつ目的外利用を防ぐ十分な対策が講じられているかを簡易的にリスク評価しています。その結果、評価対象の事業におけるデータの10~20%に、経済安全保障におけるデータ保護のリスクがあるという実態が明らかになりました。

業務に潜むリスクへの対応

このような認識と実態のギャップが生じる原因はどこにあるのでしょうか。おそらく経済安全保障におけるデータ保護のリスクを正しく理解しておらず、実際にはリスクがあるものの、それを想定できていないからではないかと考えます。

たとえば、データの越境移転について、担当者は「移転」という言葉のイメージから、海外に保管されているデータがないか気にしていることが多々あります。しかし、「移転」を経済安全保障の観点で解釈すると、海外からデータが閲覧できる状態を含む概念と捉える必要があるのです。

すなわち、海外の拠点や子会社に加え、海外の取引先や委託先等が、日本で保管するデータにアクセスできるケースも該当することになります。残念ながら、日本企業でそのような事象まで念頭に置いて、網羅的に対策を行っているケースは非常に少ないと考えます。

加えて、本来の目的以外で利用されるリスクをどこまで広く捉えるかにも留意する必要があります。自身の個人データを提供する側の顧客目線で考える場合、「利用」とは、データのコピーや外部に持ち出されるリスクは当然ながら、閲覧できる状態もリスクがあるものと想定すべきです。誰かがデータを閲覧しようと思えばそれができる状態は、データを取り扱う業務のあらゆるところで起こり得ると気付くでしょう。

あるべき対策の方向性

経済安全保障の観点では、そもそもデータ保護のリスクを正確に把握することに難しさがあります。そのため、どのようなアプローチで評価し、対策を進めていくかの検討が重要となります。有効な対策の1つは、事業におけるデータの一連の流れについて、「何を」「どこで」「誰が」「どうやって」データを取り扱っているかを丁寧に追うことです(図表参照)。

【事業におけるデータの把握と経済安全保障の観点での対策例】

金融機関の経済安全保障におけるデータ保護とは?_図表1

出典:KPMG作成

「何を」の観点では、どういった項目・性質のデータが、どの程度のボリュームで保管・提供されているかを起点に、それが保護すべき価値があるものか、重要性を議論すべきでしょう。避けるべきは、保護すべきデータが、大量かつ不要な範囲に共有されている状態です。情報管理区分の見直しや、重要性に従った共有範囲制限のルール化が有効な対策となります。

「どこで」の観点では、サプライチェーンの末端まで目を向ける必要があります。金融機関グループにおいては、ITインフラの運用をグループ会社に委託していることが多いですが。、そのグループ会社も外部のITベンダーに作業を委託し、さらに実際の運用にあたる人員は、ITベンダーの再委託先から派遣しているケースが珍しくありません。その際、データを扱う再委託先がどこに所在しているかを確認し、十分な情報セキュリティ対策を講じられているか可能な範囲で調査しておくことが望ましいでしょう。

「誰が」の観点では、データへのアクセス権限を持つメンバーを必要な範囲に絞り込み、アクセス権限を適切に付与・維持していくことがカギとなります。

「どうやって」の観点では、データを処理するハードウェアやソフトウェアなどのITシステムにおいて、海外への情報漏洩のリスクの懸念がないかを検討することを意味します。ここでも「どこで」の観点と同様に、サプライチェーンの隅々まで対策を講じていくことが肝要です。たとえば、直接の委託先に対して再委託先を制限する、あるいは再委託先に関する状況を評価できるような仕組みを契約時に盛り込むことが1つの対策になるでしょう。

本連載では、7回にわたり金融機関に求められるサイバーセキュリティに関する最新トピックを解説しました。本連載が、複雑化するサイバーセキュリティ対応の一助となれば幸いです。

週刊 金融財政事情 2024年5月28日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング 
パートナー 勝村 学

金融分野のサイバーセキュリティ最前線

    お問合せ

    サイバーセキュリティ主要課題2024:金融機関編
    サイバーセキュリティ主要課題2024:金融機関編

    金融分野におけるサイバーセキュリティに関する課題と、不確実の時代、創造的改革を受け入れ課題に対処するための施策を考察します。

    デジタルオペレーショナルレジリエンス法(DORA)
    デジタルオペレーショナルレジリエンス法(DORA)

    レジリエントな未来に向けた強固なデジタルインフラの構築を目的とした、EUの規制であるDORAについて解説します。

    ネットワークに結ばれた地球
    サイバーセキュリティ

    多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。

    金融

    金融

    金融

    「攻め」と「守り」の両面から金融分野におけるあらゆる変革を支援します。

    KPMGコンサルティング

    KPMGコンサルティング

    KPMGコンサルティング

    リスクとチャンスを同時に見つめ、企業の持続的成長を実現するために