8.11データマスキング
管理策:
データマスキングは、適用される法令を考慮して、組織のアクセス制御に関するトピック固有の方針及びその他の関連するトピック固有の方針、並びに事業上の要求事項に従って利用しなければならない。
解説:
データの機密性を保護するために、情報を変更または置換する方法でデータマスキングを実施することが規定されている。データマスキングは、個人情報や機密情報など、機密性の高い情報に対して、特に必要な場合に実施される。
データマスキングの目的は、権限のない者がアクセスした場合でも、情報が利用できない状態にすることである。
対応方法:
①取扱いに慎重を要するデータ(例:個人情報など)の保護が必要な場合、
データマスキング、仮名化、匿名化などの手法を利用して、そのデータを隠すことを検討する。
②仮名化又は匿名化の手法を用いる場合、データが十分に仮名化又は匿名化されていることを検証する。
③データの匿名化では、取扱いに慎重を要する情報の全ての要素に対して有効とするように考慮する。
関連法令:
個人情報保護法(APPI)がデータマスキングに関連する主要な法令である。
APPIは、個人情報の取扱いに関する基本的なルールを定めており、企業は、データ保護のためにデータマスキングの手法を利用することが推奨される。
また、金融業界では、金融庁が定める金融機関の個人情報保護に関するガイドラインがあり、
データマスキングが適切なデータ保護手段として認識されている。
※メルマガで配信したコラムを修正・加筆したものです