EDRツールを選定する際は、以下のような法令や規制を考慮すると共に、各種ガイドラインを確認することが大切です。
- 個人情報保護法
- 労働関連法
- 電気通信事業法
- サイバーセキュリティ関連ガイドライン
- 業界別規制
- データ越境移転規制
個人情報保護法
EDRツールを選定する際は、個人情報を取り扱う際のルールを定めた個人情報保護法に留意する必要があります。具体的なポイントは以下3つです。
- 収集目的の明確化(目的外利用禁止)
- 必要最小限のログ取得
- 保管期間の管理
EDRツールを運用するに当たって必要なデータや情報について「なぜ収集するのか」を明確化し、「目的以外には利用しない」と明示する必要があります。その上でEDRに必要のないデータを収集しないよう、ログの取得は必要最小限にとどめられる機能が付いたツールを選ぶのがおすすめです。
さらに、取得したデータをいつまで保管しておくのかを事前に取り決め、期間が過ぎたデータは速やかに削除することで、目的外利用を疑われるリスクを回避できます。
労働関連法
EDRツールを導入する際は、労働契約法や労働基準法といった労働関連法に注意が必要です。注意すべきポイントには以下のようなものがあります。
- 従業員への監視内容の通知
- 就業規則への明記
- 監視の必要性・相当性
- 過度な監視の回避
まず、従業員に対し、EDRでどのような監視を行っているのか、なぜ監視が必要なのかを事前に説明・通知しておくとともに、就業規則にもその旨を明記することを検討しましょう。これらの対応を怠ると「勝手にログ取得・監視されていた」と見なされ、プライバシー侵害を訴えられる可能性もあるでしょう。
また、過度な監視を行うと社員がストレスを感じるようになります。場合によってはトラブルに発展する可能性もあるため、監視の範囲や取得するデータは必要最小限にとどめるよう配慮する必要があります。
電気通信事業法
電気通信事業者がEDRツールを導入する場合は、電気通信事業法に注意しましょう。電気通信事業法とは主に通信サービスを提供する電気通信事業者がEDRを導入する際に関係する法律で、第4条に定められている秘密の保護に抵触しないよう留意する必要があります。具体的な注意点は以下の通りです。
- 通信内容の取得は原則慎重に扱う
- メタデータ中心の監視を行う
EDRツールを利用する際、製品によっては通信先や通信量などのネットワーク関連情報を扱う場合がありますが、過度な情報の取得は通信の秘密を侵害する行為に該当します。そのため、通信内容の取得は必要最小限にとどめた上で、慎重に取り扱うことが大切です。
基本的には、いつ・どこで・誰が通信したのかを示すメタデータ中心の監視を行うようにし、通信内容などの詳細なデータの取得は避けましょう。
なお、一般の事業会社であっても、従業員のプライバシーや通信内容の取り扱いには同様の配慮が求められるので要注意です。
どのような情報を扱うかは製品によって異なるため、事前に取り扱う情報の内容をチェックしておくと安心です。
参照:e-Gov法令検索「電気通信事業法」
https://laws.e-gov.go.jp/law/359AC0000000086
サイバーセキュリティ関連ガイドライン
EDRツール導入に当たって、以下のようなサイバーセキュリティ関連のガイドラインや診断ツールを活用しましょう。
- サイバーセキュリティ経営ガイドライン
- 情報セキュリティ対策ベンチマーク
- サイバーセキュリティ体制構築・強化に向けたNISCとJPCERT/CCのガイダンス
サイバーセキュリティ経営ガイドラインやサイバーセキュリティ体制構築・強化に向けたNISCとJPCERT/CCのガイダンスには、サイバーセキュリティリスクの管理体制やセキュリティ対応組織の構築に関する知識や手法が掲載されています。これらを参考にEDRツールの導入環境を整えれば、インシデントが発生した場合に適切かつ迅速な対応を行えるようになるでしょう。
また、組織全体のセキュリティ対策状況を自己評価するツール「情報セキュリティ対策ベンチマーク」を活用し、EDRツールを正しく使える体制が整っているかどうか診断してみるのもおすすめです。
参照:経済産業省「サイバーセキュリティ経営ガイドライン」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
業界別規制
自社の業界や企業属性によっては、以下のような基準やガイドラインの遵守が求められます。
| 業界・企業属性 | 関連基準・ガイドライン | 概要 |
|---|---|---|
| 金融 | FISC安全対策基準 | 金融情報システムの情報セキュリティ対策に関するガイドライン |
| 医療 | 医療情報システム安全管理ガイドライン | 医療情報システムの安全管理の実効性を高めるために遵守すべき事項やその考え方をまとめたガイドライン |
| 上場企業 | J-SOX(内部統制報告制度) | 財務報告の信頼性を確保するために定められた制度 |
該当する業界・企業でEDRツールを利用する際は、上記のようなガイドラインや制度の内容を踏まえて環境を整備したり、対策を講じたりする必要があります。
金融・医療・上場企業において具体的に確認したいポイントは以下の通りです。
- 金融:ログの保全性・アクセス権限管理・委託先管理への対応の可否
- 医療:患者情報を含む端末ログの保護・アクセス制御・監査証跡の確保の可否
- 上場企業:インシデント対応やログ管理が内部統制の証跡として活用できるか
データ越境移転規
クラウド型EDRの利用により、拠点から海外にデータを移転する場合、国や地域によって、以下の規制に注意する必要があります。
- EU拠点:GDPR(欧州一般データ保護規則)
- 日本:個人情報保護法
- 米国(カリフォルニア州):CPRA(カリフォルニア州プライバシー権法)※CCPA(カリフォルニア州消費者プライバシー法)を強化したもの
例えばEUEU域内の拠点や従業員・顧客データを扱うなどGDPRが適用される場合、日本企業はデータ移転について、本人からの同意の取得や、個人情報の取り扱いに関する安全管理措置を講じるなどの対応を求められることがあります。なお、状況によって適用される法的根拠は異なるため、個別に確認した方がよいでしょう。
EDRツールを選定する際は拠点がどこにあるのか、どのような法規制があるのかを事前に下調べし、必要な環境や体制を整える準備をしておきましょう。
EDRツールを選定する際は関連する法律や規制を遵守できるかチェックしよう
EDRツールを選ぶ際は、以下4つのポイントをチェックすることが大切です。
- 取得するログの範囲を細かく設定できるか
- アクセス権限管理を設定できるか
- 監査証跡を確保できるか
- 従業員向けの説明や社内規程への落とし込みが可能な運用設計になっているか
EDRツールでは顧客や社員の個人情報を取得・利用するため、扱い方を誤ると個人情報保護法や労働関連の法律などに抵触する恐れがあります。また、業種や業界、ツールの拠点によっては電気通信事業法やFISC安全対策基準、GDPRのような特別なルールも遵守しなければなりません。
これらの法律や規制を遵守できる機能・性能が備わっているかどうかを確認し、信頼できるツールを厳選することが大切です。
