法的要件をビジネスの利点に変えるバックアップコンプライアンスのヒント
Joella Dunn
Joella Dunn
John Turner
ジョン・ターナー
バックアップデータの管理方法は、そもそもバックアップを取得することと同じくらい重要です。
バックアップファイルは、すべてのライブデータのコピーであるため、プライバシー法、セキュリティ規制、業界標準も同様に適用されます。
この記事では、バックアップコンプライアンスについて知っておくべきすべてのことをご紹介します。
あなたは以下を学びます:
- バックアップコンプライアンスとは何か、そしてそれがあなたのビジネスにどう適用されるか
- GDPR、CCPA、HIPAA、その他の主要な規制からの主要な法的要件
- 暗号化やアクセス制御などの不可欠なバックアップコンプライアンス対策
- 準拠したデータ保持および削除ポリシーの作成方法
- バックアップシステムをテスト、文書化、監査するための実践的なステップ
- すぐに実装できる完全なコンプライアンスチェックリスト
目次
バックアップコンプライアンスとは?
バックアップコンプライアンスとは、バックアップ戦略が、データに適用されるすべての法的および業界の規則に従っていることを意味します。
バックアップを作成するときは、ライブウェブサイトデータの正確なコピーを作成しています。ライブサイトに個人情報、財務記録、または健康データが含まれている場合、バックアップにも同じ機密情報が含まれています。
法律は、データが「ライブ」か「バックアップ済み」かに関係なく、機密データは機密データとして扱います。どこにあっても機密データは機密データです。
これは、バックアップがメインのウェブサイトと同じプライバシー法、セキュリティ標準、業界規制に従う必要があることを意味します。バックアップファイルをどこにでも置いて完了とは言えません。
バックアップコンプライアンスは、バックアップデータのライフサイクル全体をカバーします。バックアップファイルを作成した瞬間から永久に削除する日まで、すべてのステップが規則に従う必要があります。
これには以下が含まれます:
- バックアップの作成方法
- 保存場所
- 誰がアクセスできるか
- どのくらいの期間保持するか
- 不要になったときに安全に削除する方法
バックアップコンプライアンスの重要な側面
バックアップコンプライアンスとは、データを保護し、法的に準拠し続けるための要件の集合です。これらの重要な側面を理解することで、あらゆる側面をカバーするバックアップ戦略を構築するのに役立ちます。
規制遵守
バックアップ戦略は、ビジネスの所在地だけでなく、ユーザーの所在地に基づいた法律に従う必要があります。
ヨーロッパからの訪問者がいる場合、GDPRがバックアップに適用されます。カリフォルニアのお客様?CCPAの規則が適用されます。ユーザーの所在地によって、従うべき規制が決まります。
心配しないでください。このチュートリアルの後半で、これらの法的要件について詳しく説明します。
データセキュリティ
ここでは、暗号化とアクセス制御の2つのことが最も重要です。
バックアップデータは、ストレージに転送中(転送中)とストレージに保存中(保存中)の両方で暗号化する必要があります。暗号化がないと、バックアップファイルはアクセスした人が誰でも読み取れる状態になります。
アクセス制御とは、最小権限の原則に従うことを意味します。バックアップファイルにアクセスする必要があるのは、本当に必要な担当者だけです。それ以外の人々はアクセスできないようにする必要があります。
データ保持
ビジネスニーズを満たすのに十分な期間、バックアップを保持する必要があります。ただし、プライバシー権を尊重するために、最終的には削除する必要もあります。
正式な保持ポリシーは任意ではありません。さまざまな種類のバックアップをどのくらいの期間保持し、いつ削除するかを正確に指定する書面によるルールが必要です。
RTOとRPO
目標復旧時間(RTO)は、災害後にオンラインに戻る必要がある速さです。目標復旧時点(RPO)は、許容できるデータ損失量です。
これらの数値は、サービスをどのくらいの速さで復旧できるか、および障害中にどのくらいの顧客データがリスクにさらされる可能性があるかを決定するため、コンプライアンスに影響します。
テストと検証
実際に復元することで、バックアップを定期的にテストする必要があります。これにより、バックアップシステムが機能しており、RTOとRPOのコミットメントを満たすことができることが証明されます。
すべてのテストを文書化してください。監査を受ける場合、バックアップシステムが意図したとおりに機能していることを証明する必要があります。
ドキュメント
すべてを文書化する必要があります。バックアップポリシー、テスト結果、保持スケジュール、セキュリティ対策など、すべてです。
監査官が来た場合、ルールに従っているという証拠を見たいと思うでしょう。単に主張しているだけでは不十分です。
クラウドストレージ
クラウドプロバイダーを使用しても、自動的に準拠できるわけではありません。すべてを正しく設定する責任は依然としてあなたにあります。
つまり、暗号化を設定し、適切なデータ居住性オプションを選択し、業界に適した適切なセキュリティ認定を持つプロバイダーを選択する必要があります。
クラウドプロバイダーはインフラストラクチャを処理しますが、コンプライアンスの責任は依然としてあなたにあります。
知っておくべきデータ規制は何ですか?
規制によってルールは異なりますが、すべてバックアップデータの処理方法に影響します。ビジネスで知っておくべき重要なものを以下に示します。
- GDPR:欧州のプライバシー法で、「忘れられる権利」の要件があります
- CCPA/CPRA:データ削除権を伴うカリフォルニア州のプライバシー法
- HIPAA:厳格な暗号化基準を伴う米国の医療データ保護
- PCI DSS:クレジットカードデータのセキュリティ要件
- PIPEDA:セキュリティ対策を伴うカナダのプライバシー法
- NIS2指令:EUのサイバーセキュリティ要件
- DORA:EUの金融サービスにおける運用回復力基準
GDPR
一般データ保護規則(GDPR)は、ヨーロッパの包括的なプライバシー法です。これは、会社の所在地に関係なく、EU居住者の個人データを処理するすべてのビジネスに適用されます。
バックアップに関して最も重要なことは、「消去権」(「忘れられる権利」とも呼ばれます)とデータ居住要件の2つです。
誰かが個人データの削除を要求した場合、ライブウェブサイトからデータを削除するだけで完了とは言えません。すべてのバックアップファイル内の個人データを処理するための文書化されたプロセスも必要です。
古いバックアップに含まれるデータを特定の期間内に自動的に削除する、合理的な保持ポリシーが必要です。都合が良いという理由だけで、バックアップに個人データを無期限に保持することはできません。
もう1つの側面であるデータ居住は、バックアップでは複雑になります。
GDPRは一般的に、EUの個人データをEU内または欧州委員会が十分なデータ保護があると判断した国に保持することを要求しています。これは、バックアップファイルが物理的にどこに保存されているかを正確に把握し、それらの場所がGDPR要件を満たしていることを確認する必要があることを意味します。
CCPA/CPRA
カリフォルニア州消費者プライバシー法(CCPA)とその後のカリフォルニア州プライバシー権法(CPRA)は、カリフォルニア州の居住者に個人情報に関する特定の権利を与えています。これらの法律は、カリフォルニア州の居住者から個人情報を収集する場合に適用されます。
GDPRと同様に、これはバックアップの保持ポリシーに影響します。誰かが削除を要求した場合、バックアップを含むすべてのデータストレージ全体で要求を処理するための明確なプロセスが必要です。
CCPAは、企業が「消費者の期待と合理的に一致する内部利用」のためにバックアップに個人情報を保持することを許可しています。ただし、バックアップデータの保持期間と永久に削除される時期に関する明確なポリシーは引き続き必要です。
CPRAは、「機密性の高い個人情報」という概念を導入しました。これには、正確な位置情報データ、人種または民族的出身、宗教的信念、および生体認証識別子が含まれます。
このデータにはより厳格な取り扱い要件があり、バックアップストレージにも適用されます。機密性の高い個人情報を含むバックアップファイルには強化されたセキュリティ対策が必要であり、消費者はこのデータの使用方法を制限するための追加の権利を持っています。
HIPAA
医療保険の携行性と説明責任に関する法律(HIPAA)は、米国における健康情報を保護します。患者記録、健康保険情報、あるいは基本的な健康関連データなど、保護されるべき健康情報(PHI)をウェブサイトで扱う場合、HIPAAへの準拠は必須です。
HIPAAのバックアップ要件は特に厳格です。バックアップファイル内のすべてのPHIは、FIPS 140-2検証済み暗号化を使用して暗号化する必要があります。また、誰がいつバックアップデータにアクセスしたかを追跡するためのログ記録も必要です。
バックアップデータにアクセスする可能性のあるサードパーティベンダーとは、業務委託契約(BAA)が必要です。これには、クラウドストレージプロバイダー、バックアップサービスベンダー、さらにはバックアップファイルにアクセスできる可能性のあるホスティング会社も含まれます。
この規制は、特定のデータ保持および廃棄手順も要求しています。PHIを含むバックアップデータをどのくらいの期間保持するかについての文書化されたポリシーと、安全な削除手順が必要です。
PCI DSS
クレジットカード情報を保存、処理、または送信する場合、決済カード業界データセキュリティ基準(PCI DSS)が適用されます。決済処理業者を利用している場合でも、PCI DSSの要件は、カード会員情報を含む可能性のあるバックアップデータにまで及ぶことがよくあります。
クレジットカード番号、有効期限、またはカード会員名を含むバックアップファイルは、強力な暗号化で暗号化する必要があります。この基準では、最小128ビットのキー長を持つAES暗号化が要求されています。
PCI DSSは、バックアップ暗号化のための安全なキー管理も義務付けています。暗号化キーは、暗号化されたバックアップデータとは別に保存し、強力なアクセス制御で保護する必要があります。
カード会員データは、ビジネス上または法的な目的で必要な期間のみ保持できます。バックアップ保持ポリシーは、これらの要件に準拠し、安全な削除手順を含める必要があります。
PIPEDA
カナダの個人情報保護および電子文書法(PIPEDA)は、民間組織が商業活動中に個人情報を収集、使用、開示する方法を規制しています。
PIPEDAは個人情報に対して「適切なセキュリティ対策」を要求しており、これはバックアップデータにも適用されます。法律は正確な技術的要件を指定していませんが、セキュリティ対策は情報の機密性に応じて適切である必要があると規定しています。
バックアップコンプライアンスのためには、保護している個人情報の種類に基づいて、適切な暗号化、アクセス制御、および保持ポリシーを実装する必要があります。
この法律には、インシデント通知の要件も含まれています。個人情報を含むバックアップデータが侵害された場合、プライバシーコミッショナーと影響を受ける個人に通知する必要がある場合があります。
NIS2指令
更新されたネットワークおよび情報セキュリティ指令(NIS2)は、欧州連合全体のウェブサイトに対するサイバーセキュリティ要件を大幅に拡大します。
NIS2は、事業継続と災害復旧に特に対処しています。全体的なサイバーセキュリティリスク管理の一環として、適切なバックアップおよび復旧システムを使用する必要があります。
規制では、バックアップシステムとインシデント対応手順の定期的なテストが義務付けられています。バックアップおよび復旧プロセスが機能し、事業継続目標を満たせることを示す文書化された証拠が必要です。
重大なサイバーインシデントは24時間以内に当局に報告する必要があり、これはサイトが迅速なインシデント対応をサポートする必要があることを意味します。
DORA
デジタル運用回復法(DORA)は欧州連合の金融サービスを対象としており、金融エンティティにICT(情報通信技術)リスクに対する運用回復力を維持することを要求しています。
この規制では、金融機関は運用上の混乱中および混乱後に重要な機能を維持できることを証明する必要があります。
規制では、サイバー攻撃やシステム障害を含むさまざまなシナリオを通じて、バックアップシステムの定期的なテストが義務付けられています。これらのテストは文書化され、監督当局に報告されなければなりません。
DORAの下でのサードパーティリスク管理もバックアップコンプライアンスに影響します。クラウドストレージまたはバックアップサービスプロバイダーを使用している場合は、それらがDORAの基準を満たしていることを確認する必要があります。
バックアップを準拠させることのメリットは何ですか?
多くの法律を一度にお伝えしましたが、バックアップコンプライアンスは単にトラブルを回避するだけではありません。正しく行えば、ビジネスはより強力になります。
顧客は、あなたがどのようにデータを扱っているかを気にしています。あなたがデータ保護(バックアップでの保護を含む)を真剣に考えていることを知れば、彼らはあなたにビジネスを任せる可能性が高くなります。
これは競争上の優位性となります。競合他社が事後対応に追われている間、あなたはビジネスの成長に集中できます。
さらに、規制上の罰金は莫大になる可能性があります。GDPRの罰金は、年間グローバル収益の4%に達する可能性があります。HIPAA違反は、インシデントごとに数十万ドルかかる可能性があります。
コンプライアンスに準拠したバックアップ戦略は、初日から法を遵守することで、これらの経済的打撃を回避するのに役立ちます。
災害が発生した場合、システムは文書化され、プロセスは証明され、チームは正確に何をすべきかを知っているため、より迅速に復旧できます。
コンプライアンス要件を検討することで、自分がどのようなデータを持っていて、それがどこにあるのかを真に理解することができます。
この可視性の向上は、バックアップシステムだけでなく、ビジネス全体のリスクを軽減します。潜在的な問題を早期に発見し、データ処理に関するより良い意思決定を行うことができます。
バックアップコンプライアンスチェックリスト
ここに、バックアップコンプライアンスへの実践的なロードマップを示します。
データの把握
収集および保存しているデータの完全な監査から始めます。
ウェブサイトが処理するすべての種類の情報を文書化するデータインベントリを作成します。これには、ユーザー登録データや問い合わせフォームの送信などの明らかなものだけでなく、サーバーログ、エラーログ、キャッシュされたコンテンツ、一時ファイルなどのあまり明白でないデータも含まれます。
すべての情報を機密レベル別に分類します。個人情報、財務データ、健康記録は、異なるレベルの保護が必要です。
「公開」、「内部」、「機密」、「制限付き」などのカテゴリを使用して、データ分類を整理します。
このデータがシステム内のどこに存在するかをマッピングします。データベーステーブル、アップロードされたファイルディレクトリ、ログファイル、キャッシュデータ、セッションストレージ、およびサードパーティの統合を確認してください。
検索インデックスや分析プラットフォームなど、予期しない場所に保存されている可能性のあるデータも忘れないでください。
情報がシステム内をどのように移動するかを理解するために、データフローを文書化します。お問い合わせフォームから送信された個人データは、データベース、電子メールシステム、CRM、およびバックアップファイルに格納される可能性があります。これらのすべてのタッチポイントを追跡する必要があります。
さまざまな種類の情報に対するデータ保持要件に特別な注意を払ってください。一部のデータは法的な理由(財務記録など)で保持する必要がある場合がありますが、他のデータは不要になったらすぐに削除する必要があります(一時的なセッションデータなど)。
保持ポリシーの定義
復旧時間目標(RTO)と復旧時点目標(RPO)を書き留めてください。これらの数値が、バックアップ戦略の他のすべてを推進します。
RTOは、実際のビジネスニーズを反映する必要があります。Eコマースサイトが4時間ダウンすると、$10,000の売上損失が発生する場合、RTOは4時間よりも大幅に短くする必要があります。現在のリソースで達成できることについて現実的になりましょう。
RPOは、バックアップをどのくらいの頻度で作成する必要があるかを決定します。1時間分のデータしか失う余裕がない場合は、少なくとも1時間ごとにバックアップを作成する必要があります。
RPOを計算する際に、バックアップを復元するのにかかる時間を考慮してください。
さまざまな種類のバックアップがどのくらいの期間保持されるかを正確に指定する正式な保持スケジュールを作成します。保持期間は、コンプライアンス要件、ストレージコスト、および復旧ニーズのバランスを取る必要があります。
バックアップ保持ポリシーの例を次に示します。日次バックアップは30日間、週次バックアップは12週間、月次バックアップは12か月間保持されます。
アクセス制御の使用
バックアップへのアクセス制御と承認プロセスを定義します。
誰がバックアップを作成できますか?誰がバックアップファイルにアクセスできますか?誰がバックアップを復元できますか?各タイプのアクセスにはどのような承認が必要ですか?
Duplicatorのようなツールは、これらのルールを具体的にすることができます。これは、カスタマイズ可能なアクセス制御を備えたバックアッププラグインです。これにより、誰がバックアップにアクセス、作成、または復元できるかを決定できます。
インシデント対応手順をポリシーに含めます。
バックアップデータが侵害された場合はどうなりますか?誰が通知されますか?侵害を封じ込め、影響を受ける当事者に通知するためにどのような手順を実行する必要がありますか?
Duplicatorを使用すると、保持ポリシーを自動化できます。指定したスケジュールに従って古いバックアップを自動的に削除するため、手動で管理する必要はありません。
準拠したストレージの選択
価格だけでなく、セキュリティ認定とコンプライアンス機能に基づいてストレージプロバイダーを選択してください。
コンプライアンス要件のために、適切な地理的位置にデータを保持できることを確認してください。一部のプロバイダーは地域固有のストレージオプションを提供していますが、他のプロバイダーは明確な制御なしに複数の国でデータを複製する場合があります。
プロバイダーが、必要な暗号化およびアクセス制御機能を提供していることを確認してください。AES-256暗号化、キー管理サービス、およびIDおよびアクセス管理システムとの統合を探してください。
プロバイダーのインシデント対応および情報漏洩通知の手順を確認してください。セキュリティインシデントが発生した場合、どのくらいの速さで通知されますか?どのような情報が提供されますか?あなた自身の情報漏洩通知義務をどのようにサポートしますか?
Duplicatorは、さまざまなコンプライアンス要件を満たすオプションを含む、1ダース以上のセキュアなクラウドストレージプロバイダーと統合されています。
バックアップを保護する
転送中および保存中のデータの暗号化をオンにします。強力な暗号化標準を使用してください—AES-256が現在のベストプラクティスです。
Duplicator Proは、転送中および保存中の両方で、すべてのバックアップファイルをAES-256暗号化で暗号化できるため、推測の必要がなくなります。
暗号化キーは、暗号化されたバックアップデータとは別に保存し、強力なアクセス制御で保護する必要があります。機密データの場合は、専用のキー管理サービスまたはハードウェアセキュリティモジュールを検討してください。
IDおよびアクセス管理(IAM)ツールを使用して、包括的なアクセス制御を設定します。最小権限の原則を実装します—ユーザーは、必要な特定のバックアップデータにのみアクセスできるようにする必要があります。
バックアップアクセスに関する監視とアラートを設定します。バックアップデータがアクセスされたとき、新しいバックアップが作成されたとき、バックアップシステムに変更が加えられたときに通知を受け取る必要があります。
バックアップの管理にDuplicatorを使用している場合、バックアップの失敗に関する自動通知が届きます。
さらに、受信トレイに直接送信される定期的なメールサマリーを設定できます。これらには、すべての新しいバックアップ、ストレージの場所、およびスケジュールが含まれます。
Duplicatorは、毎日、毎週、または毎月メールサマリーを送信できます。サイトがいつバックアップされたかを正確に知ることができます!
定期的にバックアップをテストする
復元テストを少なくとも四半期ごとにスケジュールしてください。特に重要なシステムの場合は、より頻繁に行う方が良いです。
さまざまな復元シナリオをカバーする正式なテストスケジュールを作成します。サイト全体の復元、部分的な復元、データベースのみの復元、およびファイルのみの復元をテストします。
復元の各タイプは、異なる問題を発見する可能性があります。
ライブウェブサイトで復元をテストしないでください—同じオペレーティングシステム、Webサーバーソフトウェア、およびデータベースバージョンを持つステージングサーバーまたは開発環境を使用してください。
新しいステージングサイトを作成する必要がある場合は、LocalWPまたはXAMPPを使用してローカルに設定してください。Duplicatorを使用してウェブサイトのフルサイトバックアップを作成します。
バックアップアーカイブファイルをダウンロードします。ローカルステージングサイトの作成が完了したら、バックアップをインポートします。Duplicatorは、テストのためにステージングエリアにデータのコピーを自動的に設定します。
RTOおよびRPOの目標に対して復元パフォーマンスを測定および文書化します。復元がRTOで許可されている時間を一貫して超える場合は、バックアップ戦略を改善するか、目標を調整する必要があります。
よくある質問(FAQ)
すべてのウェブサイトがバックアップコンプライアンスを気にする必要がありますか?
はい、訪問者から個人情報を収集する場合です。簡単な連絡フォーム、メールサインアップ、または基本的な分析追跡であっても、個人データを扱っていることを意味し、コンプライアンス規則は、その情報をどのようにバックアップおよび保存するかについて適用されます。
ウェブサイトのバックアップはどのくらいの期間保持する必要がありますか?
ビジネスニーズと規制要件によって異なります。だからこそ、書面による保持ポリシーが必要なのです。まず、ビジネスとデータに適用される規制を確認し、次にさまざまな種類のバックアップの具体的な保持期間を書き留めて、それらのルールに従ってください。
ユーザーからの「忘れられる権利」のリクエストをどのように処理しますか?
まず、ライブウェブサイトからユーザーのデータを直ちに削除してください。バックアップについては、保持ポリシーに従ってください。古いバックアップファイルを個別に消去する必要はありません。通常の保持スケジュールに従って、バックアップが期限切れになり削除されるのを待ちます。
バックアップを保存するのに最も安全な場所はどこですか?
バックアップを保存するのに最も安全な場所は、適切なセキュリティ認定を持つ、オフサイトで暗号化された評判の良いクラウドプロバイダーです。3-2-1ルールに従ってください。データを2つの異なる種類のストレージメディアに3つコピーし、1つのコピーをオフサイトに保存します。
コンプライアンスをバックアップ戦略の基盤にする
バックアップコンプライアンスとは、最も価値のあるビジネス資産であるデータをどのように保護するかについて、意図的かつ整理されていることです。
バックアップ戦略に最初からコンプライアンスを組み込むと、バックアップは単純な技術タスクから責任あるビジネスプロセスへと変貌します。
データが保護されているとわかれば、より安心して眠れるようになります。顧客からの信頼も高まります。そして、災害が発生した場合は、より迅速かつ完全に復旧できます。
しかし、現実には、これらのコンプライアンス要件をすべて手動で管理するのは時間がかかり、エラーが発生しやすくなります。コンプライアンスを維持しながら、大変な作業を自動化できるツールが必要です。
Duplicator Proは、コンプライアンスの技術的な複雑さを自動的に処理できます。AES-256暗号化、自動保持ポリシー、スケジュールされたテスト、および多数のセキュアなクラウドストレージプロバイダーとのシームレスな統合を備えています。
バックアップがコンプライアンス要件を満たしているかどうかを心配するのはやめましょう。Duplicator Proに技術的な詳細を任せて、自信を持ってビジネスを成長させることに集中してください。
せっかくなので、これらの厳選されたリソースも気に入っていただけると思います。
- ウェブサイトバックアップの冗長化戦略と場所が重要な理由
- WordPressサイトでバックアップ監視が必要な理由(バックアップだけでは不十分)
- ランサムウェアからバックアップを保護する方法
- ウェブサイトのバックアップでこれらの間違いを犯すのをやめましょう
- 3-2-1バックアップルール:成功したウェブサイトのオーナーがあなたに知らないこと
