重要な情報(個人情報とか)の保管場所としてのGoogleドライブについて考えてみる

 

みなさん、重要な情報をGoogleドライブに保管してません?
大丈夫かな?と思いつつ保管してる人結構いると思うねんな。わが家のEnterprise環境を構築していて気になったので、実際のところどうなんだろう?というのをついでに考えて、簡単にですが整理してみました。
大事なのでもう一回。"簡単に" 整理しました。


重要なデータを保管するときに必要そうな事
まずそもそも、重要なデータを保管するときに何が必要そうかを考えてみました。このあたりがよく出る話かなと思います。
  1. SSO(デバイス認証)できるか
  2. 暗号化できるか
  3. 保管先の国を選択できるか
1.SSO(デバイス認証)できるか
TOTPだけやと不安やし、会社PCからのアクセスだけに制限したいよな。
2.暗号化できるか
Googleは暗号化してるやろうけど、そうではなくクライアントサイドの暗号化ね。極端な話、これやってないとサービスプロバイダ側から見れちゃうよね
3.データの保管先の国を選択できるか
カントリーリスクが大きくないか?と個人情報保護法でいう所の “外国にある第三者への提供” に引っかからないか?も気になるポイントですよね。
Googleドライブだとどうなのか?
調べるまであまり知らなくて、
「SSOはできるけど、暗号化と保管先選択はできへんから、やっぱりBoxやんなー」
と思ってました。
1.GoogleでSSOできるか
これは特にコメントする事ないかなと思いますができるよね。問題無し。
2.Googleドライブでクライアントサイド暗号化できるか
できる。
わが家の環境でやろうと思ったけど、鍵管理サービスの契約がめんどくさそうやったから試せてはいない
これですね。
設定すると、暗号化されたドキュメントが作れると。ええやん


3.Googleドライブでデータの保管先の国を選択できるか
これは▲なんやけど、米国とEUを選択できます。
「え?それって結局のところ、外国にある第三者への提供では?」
個人情報取扱事業者は、個人データを外国にある第三者に提供するに当たっては、法第28条第1項に従い、次の(1)から(3)までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。
次の(1)から(3)までのいずれかに該当する場合を除き」と書いてますね。
で、(1)から(3)が何かというと、
(1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める国にある場合(※1)
(2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合(※2)
(3)次の①から⑦までのいずれかに該当する場合(法第27条第1項各号関係)
①法令(※3)に基づいて個人データを提供する場合…
(中略)
(※1)規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。詳細については、3(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)を参照のこと。
てことで、(1)に「我が国と同等の水準にあると認められる個人情報保護制度を有している国(略)」って書いてて、それらは「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」に書いてるそうなので見てみます。
次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
アイスランド、アイルランド、イタリア、英国、エストニア、
(略)
となっており、EUに保管している場合は、「あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要がある。」という点には該当しない、と整理ができそうです。
というか「 上記(1)の場合、当該第三者が所在する国は、法第28条第1項における「外国」に該当しない。」って書いてるな。
「外国」に該当しないってのは日本語的にメチャクチャ違和感はあるが
あと、あくまで個人情報保護法観点での話なので、国特有のリスクは別軸で判断する必要あるかなと思います。
まとめ
という事で、最低限の事できそうやし、BoxじゃなくてGoogleドライブでもいいんじゃね?って話でした。
ただし、Google WorkspaceのEnterpriseが必要なので、結局高いがw


このブログの人気の投稿

リスクアセスメント

イメージ
  これまでに、上場準備やISMS、Pマークとかで、どこかの第三者機関にリスクアセスメントをされる機会が幾度となくあったんですが、あまりしっくりこなかったので、たぶんこんな感じでやるのが良いんやで!ってのを簡単にに書こうかなと思います。 普段リスクアセスメントをやってる(やらされている)けど、これでいいのかわからないという方の参考になれば良いなと思います。 大事なのは “ 解像度 ”
Read more »

セキュリティ監視入門! MITRE ATT&CK編 その①フレームワークの理解

イメージ
最近はもっぱらジム行って筋トレと水泳しかしてないですが、久し振りにブログを書こうと思います。 何を書くかと言うと、じつは少し前に、MITRE ATT&CKを完全に理解しました。せっかくなので、これを忘れないうちにアウトプットしていきます。あと、このフレームワークはセキュリティ監視をする上でとても役に立つため、知ってもらいたいと思っています。 今のところ、全部で10章くらいの予定なんですが、一気に書くのは不可能なので、1章ずつ小出しにして行こうと思ってます。 目次はこんな感じです。 セキュリティ監視入門! MITRE ATT&CK編 フレームワークの理解 現状の評価 テクニックの選定 ログ収集の最適化 検出ルールの作成・最適化 シミュレーションテスト 監視体制の強化 継続的な学習 定期的なレビュー スタッフの教育・トレーニング 今日は「1. フレームワークの理解」です。 では、さっそく。
Read more »