個人情報保護法における暗号化の必要性とは？実施方法や注意点も解説

2019年11月28日最終更新
暗号化ソフトの製品一覧

個人情報の管理は、企業の信頼度に関わる重要な業務です。そのため暗号化によって、個人情報保護法を遵守したデータ管理をしたい方も多いのではないでしょうか。

この記事では、個人情報保護法をふまえた暗号化の必要性を紹介します。暗号化の方法や注意点なども解説するので、ぜひ参考にしてください。

暗号化ソフトの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

暗号化ソフトの資料請求ランキングで製品を比較！今週のランキング第1位は？

個人情報保護法と暗号化の関係性

暗号化は個人情報保護と密接な関係があります。以下で、詳しい内容を見ていきましょう。

個人情報保護法ガイドラインで暗号化を求めている

個人情報保護法のガイドラインでは、個人情報を暗号化して保管することを求めています。

内閣府直下の個人情報保護委員会が策定した「個人情報保護法ガイドライン（通則編）」の「電子媒体等を持ち運ぶ場合の漏えい等の防止」の項目にて、個人情報を暗号化によって厳重に保管する方法が示されています。

さらに「情報システムの使用に伴う漏えい等の防止」の項目では、暗号化の範囲を、個人情報だけでなく通信の経路にまで広げています。これらのガイドラインは、企業が最低限実施すべき安全管理措置です。

高度な暗号化をしていれば漏洩しても報告義務はない

2015年に公布された「改正個人情報保護法」では、5,000名以上の個人情報を保有する企業に、個人情報の取扱いルールを定めています。例えば個人情報が外部に漏洩した場合は、個人情報保護委員会や漏洩の影響を受ける本人へ、事実関係などを報告しなければなりません。

ただし、個人情報保護委員会が策定した「個人情報保護のガイドライン」では、報告しなくてよいケースも規定されています。個人情報が高度に暗号化されている場合には、秘匿性が高いと推定されるため、たとえ漏洩したとしても、外部への報告義務はありません。

これは、個人情報保護委員会が策定した「個人データの漏洩などの事案が発生した場合の対応について」にも明記されています。

データベースの暗号化パターン

データベースの暗号化には、２つのパターンがあります。以下で、それぞれの詳しい内容を紹介します。

ハードウェアを使った暗号化

個人情報が保存されているハードウェアストレージ全体を暗号化する方法です。セキュリティ変数を搭載したセーフガードキーや、プロセッサに内蔵されている乱数ジェネレーターなどを使って、高度な暗号化を施します。

乱数ジェネレーターのロックは、担当者のパスワードのみで解除可能です。シンプルな方法なので、データ全体をバックアップするときにも役立ちます。

ただし全体を暗号化するため、データ単位での細かなアクセス制御などはできません。

ソフトウェアを使った暗号化

パソコン内部のプログラムによって暗号化する方法です。担当者のパスワードをキーとして、高度な暗号化を施します。パソコンのリソースを使うため、パソコンと同程度のセキュリティを維持可能です。

またデータごとに暗号化でき、細かなアクセス制御も可能です。そのため企業にとってより重要なデータを優先的に保護できるでしょう。

暗号化を実施する際の注意点

暗号化を実施する上で、どのような点に注意すべきでしょうか。

暗号化した情報も適切に管理しなければならない

暗号化は、重要なデータに高度な秘匿性を持たせることができます。そのため個人情報保護法に照らしたセキュリティ対策として有効です。

しかし暗号化すれば、通常のセキュリティ対策を行わなくてよいというわけではではありません。たとえ暗号化されていても個人情報であるかぎりは、個人情報保護法ガイドラインに準拠した管理が必要です。

通常のセキュリティ対策はもちろんのこと、細かなアクセス制御なども行いましょう。

氏名・住所・生年月日・性別など、特定の個人を識別できるものなら、すべて個人情報です。公的な刊行物などで公けにされている情報や、本人だとわかるような動画・音声なども含まれます。

これらのデータを保有する場合は、個人情報保護法に照らした安全管理措置を施しましょう。

解読・復号される可能性がある

暗号化は秘匿性の高いアルゴリズムを使わなければ、解読・復元される恐れがあります。暗号化に使うキーを定期的に変えない場合も同様です。同内容のデータを期間をあけて複数回送るような場合、暗号化キーが同じなら生成する暗号文も同じになります。

これにより同じ暗号化キーの長期間利用を知られると、攻撃の対象にされる可能性が高まります。暗号化キーを毎回変更すれば、攻撃者も解読を諦めやすくなるでしょう。

暗号の不正な解読には、さまざまな手法が知られています。例えばサイドチャネル攻撃は、暗号化を行うハードウェアの動作をチェックし、復号用のキーを盗み出す手法です。

暗号装置から発せられる微弱な電磁波を解析し、個人情報を復号する「テンペスト攻撃」なども知られています。2013年には局所的な電磁放射を解析するチップを利用した「近接電磁波解析攻撃」も発生しました。

適切に暗号化を行って個人情報保護法を遵守しよう！

個人情報の暗号化は、個人情報保護法のガイドラインによって明確に規定されています。そのため氏名・住所・生年月日・性別など、特定の個人を識別できるデータはすべて暗号化することが望まれます。

暗号化する際は、高度な秘匿性を持ったアルゴリズムを利用しましょう。暗号化キーは適切に管理するとともに、毎回変更するのがおすすめです。

暗号化を適切に行って、個人情報保護法を遵守したデータ管理をしてください。

暗号化ソフト製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

暗号化ソフトの資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

公開鍵・秘密鍵とは？暗号化の仕組みをわかりやすく解説

暗号化のAES方式とは？ほかの種類との違い・実施方法を解説！

パスフレーズとは？パスワードとの違い・作り方のポイントを紹介！

RSA暗号とは？仕組みや応用事例を初心者にもわかりやすく解説！

初期化ベクトルとは？暗号化で知っておくべき基礎知識を解説！

ハッシュ化とは？暗号化との違いや利用シーンを詳しく解説！

DH（Diffie-Hellman）法とは？仕組みや問題点をわかりやすく解説！

暗号化の基本知識「平文」とは？初心者向けにわかりやすく解説！

暗号化の「DES」とは？今後の主流となるAESもあわせて解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「個人情報保護法における暗号化の必要性とは？実施方法や注意点も解説」というテーマについて解説しています。暗号化の製品導入を検討をしている企業様は、ぜひ参考にしてください。

4月19日(月) 更新
	アプリを問わず暗号化！操作変わらず漏洩防止！DataClasys・データクレシス株式会社DataClasys
	PCIDSS 準拠と情報漏洩対策【SafeNet トークナイゼーションマネージャー】タレスDIS CPLジャパン株式会社
	標的型サイバー攻撃の出口対策！Driverware NonCopy 2 サイエンスパーク株式会社
一覧を見る