個人情報保護法での暗号化の必要性とは？実施方法や注意点も解説

IT製品の比較サイト
ITトレンド編集部

個人情報の管理は、企業の信頼度に関わる重要な業務です。そのため暗号化によって、個人情報保護法を遵守したデータ管理をしたい方も多いのではないでしょうか。

この記事では、個人情報保護法をふまえた暗号化の必要性を紹介します。暗号化の方法や注意点なども解説するので、ぜひ参考にしてください。

暗号化ソフト人気ランキング | 今週のランキング第1位は？

個人情報保護法と暗号化の関係性

暗号化は個人情報保護と密接な関係があります。以下で、詳しい内容を見ていきましょう。

個人情報保護法ガイドラインで暗号化を求めている

個人情報保護法のガイドラインでは、個人情報を暗号化して保管することを求めています。

内閣府直下の個人情報保護委員会が策定した「個人情報保護法ガイドライン（通則編）」の「電子媒体等を持ち運ぶ場合の漏えい等の防止」の項目にて、個人情報を暗号化によって厳重に保管する方法が示されています。

さらに「情報システムの使用に伴う漏えい等の防止」の項目では、暗号化の範囲を、個人情報だけでなく通信の経路にまで広げています。これらのガイドラインは、企業が最低限実施すべき安全管理措置です。

高度な暗号化をしていれば漏洩しても報告義務はない

2015年に公布された「改正個人情報保護法」では、5,000名以上の個人情報を保有する企業に、個人情報の取扱いルールを定めています。例えば個人情報が外部に漏洩した場合は、個人情報保護委員会や漏洩の影響を受ける本人へ、事実関係などを報告しなければなりません。

ただし、個人情報保護委員会が策定した「個人情報保護のガイドライン」では、報告しなくてよいケースも規定されています。個人情報が高度に暗号化されている場合には、秘匿性が高いと推定されるため、たとえ漏洩したとしても、外部への報告義務はありません。

これは、個人情報保護委員会が策定した「個人データの漏洩などの事案が発生した場合の対応について」にも明記されています。

データベースの暗号化パターン

データベースの暗号化には、２つのパターンがあります。以下で、それぞれの詳しい内容を紹介します。

ハードウェアを使った暗号化

個人情報が保存されているハードウェアストレージ全体を暗号化する方法です。セキュリティ変数を搭載したセーフガードキーや、プロセッサに内蔵されている乱数ジェネレーターなどを使って、高度な暗号化を施します。

乱数ジェネレーターのロックは、担当者のパスワードのみで解除可能です。シンプルな方法なので、データ全体をバックアップするときにも役立ちます。

ただし全体を暗号化するため、データ単位での細かなアクセス制御などはできません。

ソフトウェアを使った暗号化

パソコン内部のプログラムによって暗号化する方法です。担当者のパスワードをキーとして、高度な暗号化を施します。パソコンのリソースを使うため、パソコンと同程度のセキュリティを維持可能です。

またデータごとに暗号化でき、細かなアクセス制御も可能です。そのため企業にとってより重要なデータを優先的に保護できるでしょう。

暗号化を実施する際の注意点

暗号化を実施する上で、どのような点に注意すべきでしょうか。

暗号化した情報も適切に管理しなければならない

暗号化は、重要なデータに高度な秘匿性を持たせることができます。そのため個人情報保護法に照らしたセキュリティ対策として有効です。

しかし暗号化すれば、通常のセキュリティ対策を行わなくてよいというわけではではありません。たとえ暗号化されていても個人情報であるかぎりは、個人情報保護法ガイドラインに準拠した管理が必要です。

通常のセキュリティ対策はもちろんのこと、細かなアクセス制御なども行いましょう。

氏名・住所・生年月日・性別など、特定の個人を識別できるものなら、すべて個人情報です。公的な刊行物などで公けにされている情報や、本人だとわかるような動画・音声なども含まれます。

これらのデータを保有する場合は、個人情報保護法に照らした安全管理措置を施しましょう。

解読・復号される可能性がある

暗号化は秘匿性の高いアルゴリズムを使わなければ、解読・復元される恐れがあります。暗号化に使うキーを定期的に変えない場合も同様です。同内容のデータを期間をあけて複数回送るような場合、暗号化キーが同じなら生成する暗号文も同じになります。

これにより同じ暗号化キーの長期間利用を知られると、攻撃の対象にされる可能性が高まります。暗号化キーを毎回変更すれば、攻撃者も解読を諦めやすくなるでしょう。

暗号の不正な解読には、さまざまな手法が知られています。例えばサイドチャネル攻撃は、暗号化を行うハードウェアの動作をチェックし、復号用のキーを盗み出す手法です。

暗号装置から発せられる微弱な電磁波を解析し、個人情報を復号する「テンペスト攻撃」なども知られています。2013年には局所的な電磁放射を解析するチップを利用した「近接電磁波解析攻撃」も発生しました。

適切に暗号化を行って個人情報保護法を遵守しよう！

個人情報の暗号化は、個人情報保護法のガイドラインによって明確に規定されています。そのため氏名・住所・生年月日・性別など、特定の個人を識別できるデータはすべて暗号化することが望まれます。

暗号化する際は、高度な秘匿性を持ったアルゴリズムを利用しましょう。暗号化キーは適切に管理するとともに、毎回変更するのがおすすめです。

暗号化を適切に行って、個人情報保護法を遵守したデータ管理をしてください。

暗号化ソフト人気ランキング | 今週のランキング第1位は？

暗号化ソフト選び方ガイド

製品を選ぶときのポイントがわかる！

どんな企業が導入すべきかがわかる！

選び方ガイドのダウンロードはこちら

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトであり、2020年3月時点で、累計訪問者数2,000万人以上、1,300製品以上を掲載しています。サイトを閲覧し利用する企業内個人であるユーザーは、掲載されている製品情報や口コミレビューなどを参考に、自社の課題に適したIT製品を複数の製品・会社から比較検討ができ、その場で資料請求が一括でできるサイトです。

このカテゴリーに関連する記事

DH（Diffie-Hellman）法とは？概要、仕組みや問題点をわかりやすく解説

SSL暗号化とは？概要や暗号化の流れや役割、導入方法を詳しく解説！

CRYPTREC暗号リストとは？初心者向けにわかりやすく解説！

RSA暗号とは？仕組みや応用事例を初心者にもわかりやすく解説！

公開鍵・秘密鍵とは？暗号化の仕組みをわかりやすく解説

暗号化のAES方式とは？ほかの種類との違い・利用方法を解説！

暗号化の種類・特徴とは？暗号アルゴリズムもわかりやすく解説！

パスフレーズとは？パスワードとの違い・作り方のポイントを紹介！

暗号化の「DES」とは？概要や仕組み、主流となるAESもあわせて解説！

初期化ベクトルとは？暗号化で知っておくべき基礎知識を解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「個人情報保護法での暗号化の必要性とは？実施方法や注意点も解説」というテーマについて解説しています。暗号化の製品導入を検討をしている企業様は、ぜひ参考にしてください。

カテゴリー関連製品・サービス

資料請求で
比較表が作れる！

カテゴリー資料請求ランキング

1月30日(月) 更新
	HSM（ハードウェアセキュリティモジュール）タレスHSM シリーズタレスDISジャパン株式会社
	アプリを問わず暗号化！操作変わらず漏洩防止！DataClasys・データクレシス株式会社DataClasys
	エンタープライズ暗号鍵管理（EKM）CipherTrust Manager（CM暗号鍵管理）タレスDISジャパン株式会社
4位以下のランキングはこちら

新規会員登録

1月30日(月) 更新
	HSM（ハードウェアセキュリティモジュール）タレスHSM シリーズタレスDISジャパン株式会社
	アプリを問わず暗号化！操作変わらず漏洩防止！DataClasys・データクレシス株式会社DataClasys
	エンタープライズ暗号鍵管理（EKM）CipherTrust Manager（CM暗号鍵管理）タレスDISジャパン株式会社
4位以下のランキングはこちら