最近、情報漏洩がおおいですね。今年だとJTB、最近だと陸上自衛隊の内部情報(これは否定されてますが)とか。いや、他人事ではないんですけど。
どういう"漏洩"を通知すればいいのか
とはいえ、昨今その空気が非常に強すぎる気がしていて、"情報漏洩の痕跡っぽいのがありました"レベルの公開情報が多い気もしています。そうなると、その間ユーザーは進捗と被害範囲に気をもむし、運用者は広報支援でドタバタして調査に集中できないのではないでしょうか。なので、これぐらいのレベルだったら公開しなくてもええで?みたいな基準がないものかな、と考えていました。
そして、アメリカ医療業界にこける最近?情報漏洩通知ルールを見つけたので、それを紹介させていただきます。
HIPPA
紹介するものは、医療保険の相互運用性と説明責任に関する法令 (HIPAA)というものです。これ自体は1996年に制定されたのですが、その後、経済的および臨床的健全性のための医療ITに関する法律 (HITECH) により、規定が拡大され、保護された医療情報 のセキュリティとプライバシー(PHI)を保護することを意図した一連の標準が確立されました。 by HIPAA や HITECH とはなんですか? by AMAZON AWS
その中には情報漏洩時の通知ルール(Breach Notifiction Rule)というものが定められていました。
では、通知とは一体なにをさすのでしょうか。
Breachの定義
対象事業者?(covere entity)・事業提携社は、以下の要素においてPHIが侵害された(compromised)場合には、漏洩(Breach)していると定義しています。
1.The nature and extent of the protected health information involved, including the types of identifiers and the likelihood of re-identification;
2. The unauthorized person who used the protected health information or to whom the disclosure was made;
3. Whether the protected health information was actually acquired or viewed;
4. The extent to which the risk to the protected health information has been mitigated.
なぜ日本語訳してないかというとめんどくさかった法律も絡むコンテキストでの適切な表現がわからなかったからです。本当です。
というわけで、Breachが発生したら関係人物・監督庁?(Secrecy)への通知が義務づけられ、場合によってはメディアへの公開も必要になります。
ただし、Breachの定義には以下の例外があります。
1. 雇用者や公務員?(Person under Authority)の過失による、PHIの取得・閲覧・利用した場合
2. PHIへのアクセス権限を有する人物から、同じ権限を有する別人への公開した場合
3. なんらかの理由でPHIを入手した本来権限を有しない人物が、情報を保持しないことを対象事業者・事業提携社が信じる場合(good faith belief)
では、この例外にあたらないPHIの漏洩は、全て通知対象になるのでしょうか。そうではないのです。
ここまで黙っていましたが、実は重要な前提があります。この通知義務はアンセキュアなPHIが漏洩した時のみ発生するものなのです。
"HIPAA covered entities and their business associates to provide notification following a breach of unsecured protected health information."
Unsecureな医療情報とは
"Unsecured protected health information is protected health information that has not been rendered unusable, unreadable, or indecipherable to unauthorized persons through the use of a technology or methodology specified by the Secretary in guidance"
直訳すると、アンセキュアなPHIとは"HHSのガイダンスで指定した技術・手法によって、利用できない・可読性のない・解読できない状態になってない"PHIのことになります。
そのガイドラインは以下に公開されています。
https://www.hhs.gov/hipaa/for-professionals/breach-notification/guidance/index.html
そのガイドラインによると、以下の一つ以上の組み合わせの技術・手法が組み合わされば、利用できない・可読性のない、解読できない状態のPHIと定義できます。
- NIST(米国立標準技術研究所)により認定された暗号化方式
- PHIが保管されたメディアの破壊方法
- 略
これにより、仮に例えば、AESアルゴリズムによって暗号化されたPHIのみが漏洩したとしても、通知自体は企業の判断に委ねられて、原因の追究だけにフォーカスできる状況がうまれる可能性もあるということです。
- ちなみにAES鍵が漏れてたらダメです。
日本では?
ここで業界は違いますが、日本の金融庁における決まりを見てみましょう。
個人情報がたんまり入った電源シャットダウン済みのFull Disk EncryptionされたPCを紛失したとしましょう。(おそらく)HIPAA法の下では、PHIは完全に暗号化されていてセキュアなPHIになるだろうから、通知義務は発生しないと思われます。
ですが、金融庁の"(5)業法の体系における不祥事件届出"によると、情報の状態に関係なく、報告義務があるそうです。うーん...残念...
最後に
散文的ですが、色々なところに間違いがあるかもしれませんが、これを元に、何を公開情報のケースとするか、などを考えていければな〜、と思っています。
普段なれない法律系の、しかも英文を読んでたのでシンドかったです。
余談ですが、次かくものはコードベースにします。
追記(12/12): 個人情報保護委員が表明したようです
個人情報保護委、高度に暗号化した個人データ漏洩は報告不要とする対応案公表
個人データや加工方法などの情報が、高度な暗号化などで秘匿化されていたり、第三者に閲覧されないうちに全てを回収したりして実質的に外部に漏洩していないと判断される場合などは、報告不要
まだ、パブコメ募集段階ではありますが、タイムリーですね。
ただ、個人情報保護委員会は各省庁から独立した内閣総理大臣所轄の委員会なので、ここから各省庁に落としこむ形となるでしょう。その場合、しばらくは委員会には報告しなくてよくても、監督庁には報告しないといけない漏洩インシデントがありそうです。そうなると、やっぱり事業者側としては「後から怒られない様に、とりあえず報告しとけ!」対応になるんじゃないかな〜、と思ってます。また、「高度な暗号」など定義が曖昧... でも、この様に行政が進化しているのはいい流れだと思います。