« 米国 司法省 Genesis Markeをテイクダウン | Main | 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について »

2023.04.07

フランス CNIL パーソナルデータセキュリティガイドの新版を発行

こんにちは、丸山満彦です。

フランスのデータ保護機関である情報処理と自由に関する国家委員会 (Commission nationale de l’informatique et des libertés: CNIL) が個人データのセキュリティ確保のためのガイドラインの改訂版を公表していますね。。。

 

⚫︎ Commission nationale de l’informatique et des libertés: CNIL

・2023.04.03 La CNIL publie une nouvelle version de son guide de la sécurité des données personnelles

 

La CNIL publie une nouvelle version de son guide de la sécurité des données personnelles CNIL パーソナルデータセキュリティガイドの新版を発行
Ce guide a pour but d’accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre. Cette nouvelle version prend notamment en compte les dernières recommandations de la CNIL en matière de mots de passe et de journalisation. 本ガイドは、個人データを取り扱う関係者に、実施すべき基本的な注意事項を喚起し、支援することを目的としている。この新しいバージョンは、パスワードとロギングに関するCNILの最新の勧告を考慮に入れている。
Quel est le contenu du guide ? このガイドの内容は?
L’obligation de sécurité, inscrite dans la loi depuis 45 ans, a été renforcée par le RGPD. Or, il est parfois difficile, lorsque l’on n'est pas familier avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été fait. 45年前から法律に明記されているセキュリティの義務は、RGPDによって強化されました。しかし、リスクマネジメントの手法に精通していない場合、このようなアプローチを実施し、最低限のことが行われたことを確認することは、時として困難である。
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. 管理者及び処理者は、リスクに見合ったセキュリティレベルを確保するために、適切な技術的及び組織的措置を実施するものとする。
- Article 32 du RGPD - RGPDの第32条
À travers 17 fiches, le guide de la sécurité des données personnelles de la CNIL rappelle aussi bien les précautions élémentaires qui devraient être mises en œuvre de façon systématique que les mesures destinées à renforcer davantage encore la protection des données. Ce guide constitue une référence en matière de sécurité. CNILの個人情報セキュリティガイドは、17枚のシートを通して、体系的に実施すべき基本的な予防策と、データ保護をさらに強化することを目的とした対策を思い起こさせる。このガイドは、セキュリティの分野における参考資料である。
Quelles sont les nouveautés de l’édition 2023 ? 2023年版の新機能は何か?
Pour cette édition, les changements principaux concernent les fiches suivantes : この版では、主に以下のシートが変更されている:
・La fiche n° 2 « Authentifier les utilisateurs » prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. En particulier, elle reprend la notion d’entropie du mot de passe pour offrir une plus grande liberté dans la définition de politiques de mots de passe et abandonne l’obligation de renouvellement des mots de passe pour les comptes utilisateurs "classiques". シートNo.2「ユーザーの認証」:CNILが2022年に採択したパスワードおよびその他の共有秘密に関する新しい勧告を考慮に入れている。特に、パスワードポリシーの定義に自由度を与えるパスワードエントロピーの概念を盛り込み、「クラシック」ユーザーアカウントのパスワード更新義務を廃止している。
・La fiche n° 4 « Tracer les opérations et gérer les incidents » prend en compte la recommandation relative à la journalisation adoptée en 2021. Elle  explique comment assurer une traçabilité des accès et actions dans des systèmes multi-utilisateurs tout en trouvant l’équilibre entre sécurité, surveillance et risques associés
.
シートNo.4「操作の追跡とインシデントの管理」:2021年に採択されたロギングに関する勧告を考慮に入れている。マルチユーザーシステムにおけるアクセスや操作のトレーサビリティを確保し、セキュリティ、モニタリング、関連するリスクのバランスを取る方法を解説している。
・La fiche n°12 « Encadrer les développements informatiques » a également été enrichie d’éléments venant du guide RGPD pour l’équipe de développement. シートNo.12「IT開発の監督」:開発チームのためのRGPDガイドの要素が盛り込まれている。
・Enfin, les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer »  ont été actualisées pour tenir compte de l’évolution des pratiques actuellement recommandées. ・最後に、ファクトシートNo.15「他組織との交流のセキュリティ確保」ファクトシートNo.17「暗号化、ハッシュ化、署名」:現在推奨されている慣行の変更を考慮し、更新されている。
D’autres mises à jour et améliorations plus ponctuelles ont été apportées pour suivre l’évolution de la menace et des connaissances. その他の更新や改善は、脅威や知識の変化に対応するために、その都度行っている。
À qui s’adresse ce guide ? このガイドは誰のためのものであるか?
Ce guide s’adresse à l’ensemble des professionnels amenés à utiliser des données personnelles. Le responsable de l’organisme, ainsi que ses équipes en charge de la protection des données et de la sécurisation de l’information y trouveront les différentes thématiques à aborder et un ensemble de mesures à mettre en œuvre. 本ガイドは、個人データを使用するすべての専門家を対象としている。組織のトップ、およびデータ保護と情報セキュリティを担当するチームは、このガイドで、取り組むべきさまざまなテーマと実施すべき一連の対策を見つけることができる。
Document reference 参考資料
Télécharger le guide ガイドをダウンロードする
・[PDF] Guide pratique RGPD - Sécurité des données personnelles ・実務ガイドRGPD - 個人データのセキュリティ確保
Pour approfondir お問い合わせ先
> Tous les contenus de la CNIL sur la cybersécurité  > サイバーセキュリティに関するCNILの全コンテンツ 

 

・[PDF]

20230407-42033

 

17のシートは、、、

1.       Sensibiliser les utilisateurs 1.       ユーザーの意識改革
2.       Authentifier les utilisateurs 2.       ユーザーの認証
3.       Gérer les habilitations 3.       オーソライズの管理
4.       Tracer les opérations et gérer les incidents 4.       操作の追跡とインシデントの管理
5.       Sécuriser les postes de travail 5.       ワークステーションのセキュリティ確保
6.       Sécuriser l'informatique mobile 6.       モバイルコンピューティングのセキュリティ確保
7.       Protéger le réseau informatique interne 7.       社内コンピュータネットワークの保護
8.       Sécuriser les serveurs 8.       サーバーのセキュリティ確保
9.       Sécuriser les sites web 9.       ウェブサイトのセキュリティ確保
10.    Sauvegarder et prévoir la continuité d'activité 10.    バックアップと事業継続の計画
11.    Archiver de manière sécurisée 11.    セキュアなアーカイブ
12.    Encadrer les développements informatiques 12.    IT開発の監督
13.    Encadrer la maintenance et la fin de vie des matériels et logiciels 13.    ハードウェア・ソフトウェアの保守とエンドオブライフの管理
14.    Gérer la sous-traitance 14.    外注先の管理
15.    Sécuriser les échanges avec d'autres organismes 15.    他組織との交流のセキュリティ確保
16.    Protéger les locaux 16.    構内の保護
17.    Chiffrer, hacher ou signer 17.    暗号化、ハッシュ化、署名

 

 

|

« 米国 司法省 Genesis Markeをテイクダウン | Main | 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 司法省 Genesis Markeをテイクダウン | Main | 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について »