法的要件をビジネスのメリットに変えるバックアップ・コンプライアンスのヒント
バックアップデータをどのように管理するかは、そもそもバックアップを取ることと同じくらい重要だ。
バックアップファイルは、すべてのライブデータのコピーであり、同じプライバシー法、セキュリティ規制、業界標準の下にあることを意味します。
このブログでは、バックアップのコンプライアンスについて知っておくべきことを説明する。
あなたは学ぶだろう:
- バックアップ・コンプライアンスの意味とビジネスへの適用
- GDPR、CCPA、HIPAA、その他の主要な規制による主な法的要件
- 暗号化やアクセス制御など、バックアップに不可欠なコンプライアンス対策
- コンプライアンスに準拠したデータ保持・削除ポリシーの作成方法
- バックアップシステムをテスト、文書化、監査するための実践的な手順
- すぐに実行できるコンプライアンス・チェックリスト
目次
バックアップ・コンプライアンスとは?
バックアップコンプライアンスとは、バックアップ戦略がデータに適用されるすべての法的および業界ルールに従うことを意味します。
バックアップを作成する場合、本番サイトのデータの正確なコピーを作成することになります。ライブサイトに個人情報、財務記録、または健康データが含まれている場合、バックアップにも同じ機密情報が含まれます。
法律では、データが "ライブ "か "バックアップ "かは関係ない。機密データは、それがどこに置かれていようと、機密データなのだ。
つまり、バックアップはメインのウェブサイトと同じ個人情報保護法、セキュリティ基準、業界規制に従わなければなりません。バックアップファイルをどこかに捨てれば完了というわけにはいきません。
バックアップ・コンプライアンスは、バックアップ・データのライフサイクル全体をカバーします。バックアップファイルを作成した瞬間から、それを完全に削除する日まで、すべてのステップでルールに従う必要があります。
これには以下が含まれる:
- バックアップの作成方法
- 保管場所
- 誰がアクセスできるか
- 保管期間
- 不要になったファイルを安全に削除する方法
バックアップのコンプライアンス
バックアップコンプライアンスは、データを保護し、法的コンプライアンスを維持するために必要な要件をまとめたものです。これらの重要な側面を理解することで、すべての基盤をカバーするバックアップ戦略を構築することができます。
規制遵守
バックアップ戦略は、ビジネスの場所だけでなく、ユーザーの所在地に基づいた法律に従わなければなりません。
ヨーロッパからの訪問者がある場合、GDPRがバックアップに適用されます。カリフォルニアからの顧客?CCPA規則が適用されます。ユーザーの所在地によって、従うべき規制が決まります。
これらの法的要件については、このチュートリアルの後半で詳しく説明するのでご心配なく。
データ・セキュリティ
暗号化とアクセス制御だ。
バックアップデータは、ストレージに移動しているとき(転送中)とストレージに保管されているとき(保管中)の両方を暗号化する必要があります。暗号化しなければ、バックアップファイルは誰がアクセスしても読むことができます。
アクセス制御とは、最小特権の原則に従うことです。バックアップファイルへのアクセスが絶対に必要な人だけがアクセスできるようにします。それ以外の人はロックアウトされるべきです。
データ保持
バックアップは、ビジネス・ニーズを満たすのに十分な期間保存しておく必要がある。しかし、プライバシーの権利を尊重するため、いずれは削除する必要もあります。
正式な保管ポリシーはオプションではありません。様々な種類のバックアップをどれくらいの期間保存し、いつ削除するのかを正確に指定する文書化されたルールが必要です。
RTOとRPO
復旧時間目標(RTO)とは、災害後にどれだけの速さでオンラインに復旧する必要があるかということです。復旧時点目標(RPO)とは、どの程度のデータ損失を許容できるかということです。
どちらの数字も、サービスをどれだけ早く復旧できるか、また停電時に顧客データがどれだけ危険にさらされる可能性があるかを決定するため、コンプライアンスに影響する。
テストと検証
バックアップを実際にリストアして定期的にテストする必要があります。これにより、バックアップシステムが機能し、RTOとRPOの約束を守れることが証明されます。
すべてのテストを文書化する。監査を受けた場合、バックアップ・システムが実際に意図したとおりに機能していることを証明する必要があります。
ドキュメンテーション
すべてを文書化する必要があります。バックアップ・ポリシー、テスト結果、保管スケジュール、セキュリティ対策など、すべてだ。
監査役が呼びに来た場合、監査役は、あなたがルールに従っていると主張するだけでなく、実際にルールに従っている証拠を見たがるだろう。
クラウドストレージ
クラウド・プロバイダーを利用したからといって、自動的にコンプライアンスに準拠できるわけではありません。すべてを正しく設定する責任があることに変わりはない。
つまり、暗号化を設定し、適切なデータ保管オプションを選択し、業界に適したセキュリティ認証を持つプロバイダーを選ぶということだ。
クラウド・プロバイダーはインフラを扱うが、コンプライアンス責任はまだあなた自身にある。
知っておくべきデータ規制とは?
規制によってルールは異なりますが、いずれもバックアップデータの扱い方に影響します。ここでは、あなたのビジネスにとって知っておくべき重要な規制を紹介します:
- GDPR:忘れられる権利」が要求される欧州個人情報保護法
- CCPA/CPRA:データ削除権を有するカリフォルニア州プライバシー法
- HIPAA:厳格な暗号化基準による米国の医療データ保護
- PCI DSS:クレジットカード・データのセキュリティ要件
- PIPEDA:カナダの個人情報保護法。
- NIS2指令EUのサイバーセキュリティ要件
- DORA:EUの金融サービス業務回復力基準
GDPR
一般データ保護規則(GDPR)はヨーロッパの包括的なプライバシー法です。企業の所在地に関係なく、EU居住者の個人データを処理するすべての企業に適用されます。
それは、「消去権」(「忘れられる権利」とも呼ばれる)とデータ残存要件である。
個人情報の削除を依頼された場合、ウェブサイトからデータを削除して終わりというわけにはいきません。バックアップファイルにも個人データの取り扱い方法を文書化する必要があります。
特定の期間内に、そのデータを含む古いバックアップを自動的に削除する合理的な保持ポリシーが必要です。便利だからといって、個人データをいつまでもバックアップに残しておくことはできません。
もうひとつの部分であるデータレジデンシーは、バックアップで厄介なことになる。
GDPRでは一般的に、EUの個人データはEU域内、または欧州委員会が適切なデータ保護を行っていると判断した国に保管することが義務付けられています。つまり、バックアップファイルが物理的に保存されている場所を正確に把握し、それらの場所がGDPRの要件を満たしていることを確認する必要があります。
CCPA/CPRA
カリフォルニア州消費者プライバシー法(California Consumer Privacy Act:CCPA)およびその後継法であるカリフォルニア州プライバシー権法(California Privacy Rights Act:CPRA)は、カリフォルニア州居住者に個人情報に関する特定の権利を与えています。これらの法律は、カリフォルニア居住者から個人情報を収集する場合に適用されます。
GDPRと同様に、これはバックアップ保持ポリシーに影響します。誰かが削除を要求した場合、バックアップを含むすべてのデータストレージにおいて、その要求を処理するための明確なプロセスが必要です。
CCPAは、企業が「消費者の期待に合理的に沿った内部利用」のために個人情報をバックアップに保管することを認めている。しかし、バックアップデータをいつまで保持し、いつ永久に削除するかについては、明確なポリシーが必要です。
CPRAは「機微(センシティブ)個人情報」という概念を導入し、これには正確な位置情報、人種や民族的出身、宗教的信条、生体認証などが含まれる。
このデータには、バックアップ保存にまで及ぶ、より厳格な取り扱い要件があります。機密性の高い個人情報を含むバックアップファイルのセキュリティ対策を強化する必要があり、消費者にはこのデータの使用方法を制限する権利が追加されます。
ヒパア
医療保険の相互運用性と説明責任に関する法律(HIPAA)は、米国における医療情報を保護する法律です。あなたのウェブサイトが患者記録、健康保険情報、あるいは基本的な健康関連データなど、保護されるべき健康情報(PHI)を扱う場合、HIPAAへの準拠は必須です。
HIPAAのバックアップ要件は特に厳しい。バックアップファイル内のすべてのPHIは、FIPS 140-2で検証された暗号化を使用して暗号化されなければなりません。また、誰がいつバックアップデータにアクセスしたかを追跡するロギングも必要です。
バックアップデータにアクセスする可能性のあるサードパーティベンダーとは、業務提携契約(BAA)が必要です。これには、クラウドストレージプロバイダー、バックアップサービスベンダー、そしてバックアップファイルにアクセスする可能性がある場合はホスティング会社も含まれます。
同規制はまた、具体的なデータ保持・廃棄手順も要求している。PHIを含むバックアップデータの保管期間と安全な削除手順について、文書化されたポリシーが必要です。
PCI DSS
クレジットカード情報を保存、処理、または送信する場合は、Payment Card Industry Data Security Standard(PCI DSS)が適用されます。支払処理業者を使用する場合でも、PCI DSS 要件は多くの場合、カード会員情報を含む可能性のあるバックアップデータにも適用されます。
クレジットカード番号、有効期限、カード所有者名を含むバックアップファイルは、強力な暗号化技術で暗号化する必要があります。この規格では、最小鍵長 128 ビットの AES 暗号化を要求しています。
PCI DSS は、バックアップ暗号化のための安全な鍵管理も義務付けています。暗号化キーは暗号化されたバックアップデータとは別に保管し、強力なアクセス制御で保護する必要があります。
カード会員データを保管できるのは、業務上または法律上の目的に必要な期間のみです。バックアップ保持ポリシーは、これらの要件に一致させ、安全な削除手順を含める必要があります。
ピペダ
カナダの個人情報保護および電子文書法(PIPEDA)は、民間企業が商業活動中に個人情報を収集、使用、開示する方法について規定しています。
PIPEDAは個人情報に対して「適切な安全保護措置」を要求しており、それはバックアップデータにも及びます。同法は正確な技術的要件を規定していないが、情報の機密性に応じた適切なセキュリティ対策を求めている。
バックアップ・コンプライアンスでは、保護する個人情報の種類に応じて、合理的な暗号化、アクセス制御、保管ポリシーを導入することを意味します。
この法律には、情報漏洩に関する通知要件も含まれています。個人情報を含むバックアップデータが漏洩した場合、個人情報保護委員会と影響を受ける個人の両方に通知する必要があります。
NIS2指令
更新されたネットワークおよび情報セキュリティ指令(NIS2)は、EU全域のウェブサイトに対するサイバーセキュリティ要件を大幅に拡大するものである。
NIS2は特に事業継続と災害復旧に対応している。全体的なサイバーセキュリティのリスク管理の一環として、適切なバックアップとリカバリシステムを使用しなければならない。
この規制では、バックアップシステムとインシデント対応手順の定期的なテストを義務付けています。バックアップとリカバリのプロセスが機能し、事業継続の目標を達成できることを示す文書化された証拠が必要です。
重大なサイバーインシデントは24時間以内に当局に報告する必要があるため、サイトでは迅速なインシデント対応をサポートする必要がある。
DORA
デジタル・オペレーショナル・レジリエンス法(DORA)は、EUの金融サービスを対象としており、金融機関はICT(情報通信技術)リスクに対するオペレーショナル・レジリエンスを維持することが求められている。
この規制では、金融機関は、業務中断時および中断後も重要な機能を維持できることを証明しなければならない。
この規制では、サイバー攻撃やシステム障害など、さまざまなシナリオを想定したバックアップシステムの定期的なテストを義務付けている。これらのテストは文書化され、監督当局に報告されなければならない。
DORAの第三者リスク管理は、バックアップのコンプライアンスにも影響します。クラウドストレージやバックアップサービスプロバイダを利用する場合は、それらがDORAの基準を満たしていることを確認する必要がある。
バックアップをコンプライアンスに準拠させるメリットとは?
今、たくさんの法律を投げかけましたが、バックアップ・コンプライアンスはトラブルを避けるためだけのものではありません。正しく行うことで、ビジネスをより強固なものにします。
顧客はあなたがデータをどのように扱うかを気にします。あなたがデータ保護(バックアップを含む)に真剣に取り組んでいることを知れば、あなたのビジネスを信頼する可能性が高まります。
これは競争上の優位性となる。競合他社がコンプライアンス上の問題を事後的に解決しようと躍起になっている間に、あなたはビジネスの成長に集中することができます。
さらに、規制当局の罰則は巨額になる可能性があります。GDPRの罰金は年間グローバル収益の4%に達する可能性があります。HIPAA違反は、1件あたり数十万ドルかかることもある。
コンプライアンスに準拠したバックアップ戦略は、初日から法律の正しい側に立つことで、こうした金銭的打撃を回避するのに役立つ。
災害が発生した場合、システムが文書化され、プロセスが実証され、チームが何をすべきかを正確に把握しているため、復旧が早まります。
コンプライアンス要件に対応するためには、どのようなデータがあり、どこに保管されているのかを理解する必要がある。
この可視性の向上により、バックアップシステムだけでなく、ビジネス全体のリスクが軽減されます。潜在的な問題を早期に発見し、データの取り扱いについてより適切な判断を下すことができます。
バックアップ・コンプライアンス・チェックリスト
バックアップ・コンプライアンスへの実践的なロードマップです。
データを知る
どのようなデータを収集し、保存しているかを完全に監査することから始めよう。
ウェブサイトが扱うあらゆる情報を記録したデータインベントリを作成しましょう。これには、ユーザー登録データやコンタクトフォームの送信など明白なものだけでなく、サーバーログ、エラーログ、キャッシュされたコンテンツ、一時ファイルなど明白でないデータも含まれます。
すべてを機密レベル別に分類する。個人情報、財務データ、健康記録は、それぞれ異なるレベルの保護が必要です。
公開」、「内部」、「機密」、「制限」などのカテゴリーを使用して、データの分類を整理する。
このデータがシステム内のどこに存在するかをマッピングします。データベースのテーブル、アップロードされたファイルのディレクトリ、ログファイル、キャッシュされたデータ、セッションストレージ、サードパーティの統合を確認してください。
検索インデックスや分析プラットフォームなど、予期せぬ場所に保存されている可能性のあるデータについてもお忘れなく。
データフローを文書化し、情報がシステム内をどのように移動するかを理解しましょう。コンタクトフォームから送信された個人データは、データベース、Eメールシステム、CRM、バックアップファイルに保存される可能性があります。これらすべてのタッチポイントを追跡する必要があります。
さまざまなタイプの情報に対するデータ保持要件に特に注意してください。法的な理由で保存が必要なデータ(財務記録など)もあれば、不要になったらすぐに削除すべきデータ(一時的なセッションデータなど)もあります。
リテンション・ポリシーの定義
目標復旧時間と目標復旧ポイントを書き出してください。これらの数字がバックアップ戦略における他のすべての原動力となります。
RTOは実際のビジネスニーズを反映したものでなければなりません。eコマース・サイトが4時間ダウンした場合、1万ドルの売上損失が発生するのであれば、RTOは4時間よりもはるかに短くする必要があります。現在のリソースで達成できることを現実的に考えてください。
RPOによってバックアップを作成する頻度が決まります。もし1時間しかデータを失う余裕がないのであれば、少なくとも1時間ごとのバックアップが必要です。
RPOを計算する際には、バックアップの復元にかかる時間を考慮すること。
正式な保存スケジュールを作成し、さまざまな種類のバックアップの保存期間を正確に指定します。保管期間は、コンプライアンス要件、保管コスト、リカバリの必要性のバランスをとる必要があります。
バックアップ保持ポリシーの例です:日次バックアップは30日間、週次バックアップは12週間、月次バックアップは12ヶ月間保存します。
アクセス・コントロールの使用
バックアップのアクセス制御と承認プロセスを定義する。
誰がバックアップを作成できますか?誰がバックアップファイルにアクセスできますか?誰がバックアップを復元できますか?それぞれのアクセスにはどのような承認が必要ですか?
Duplicatorのようなツールは、これらのルールを特定のものにすることができる。Duplicatorはカスタマイズ可能なアクセスコントロールを備えたバックアッププラグインだ。これにより、誰がバックアップにアクセス、作成、復元できるかを決めることができる。
インシデント対応手順をポリシーに含める。
バックアップデータが漏洩したら?誰に通知されるのか?漏洩を食い止め、影響を受ける関係者に通知するために、どのような手順を踏む必要があるのか?
Duplicatorを使えば、保存ポリシーを自動化できます。指定したスケジュールに従って古いバックアップを自動的に削除するので、手動で管理する必要はありません。
準拠ストレージの選択
ストレージ・プロバイダーは、価格だけでなく、セキュリティ認証やコンプライアンス能力に基づいて選ぶ。
コンプライアンス要件に適した地理的ロケーションにデータを保管できることを確認する。プロバイダーによっては、地域に特化したストレージ・オプションを提供している場合もあれば、明確な管理なしに複数の国にデータを複製している場合もあります。
プロバイダーが必要な暗号化機能とアクセス・コントロール機能を提供しているかどうかを確認する。AES-256暗号化、鍵管理サービス、ID・アクセス管理システムとの統合を確認する。
プロバイダーのインシデント対応と侵害通知手順を確認してください。セキュリティ・インシデントが発生した場合、どの程度迅速に通知されるか。どのような情報を提供するのか。自社の違反通知義務をどのようにサポートするか。
Duplicatorは、様々なコンプライアンス要件を満たすオプションを含む、10社以上の安全なクラウドストレージプロバイダーと統合しています。
バックアップの保護
転送中および静止中のデータの暗号化を有効にする。強力な暗号化規格を使用する。
Duplicator ProはすべてのバックアップファイルをAES-256で暗号化し、転送中も保存中も暗号化することができます。
暗号化キーは暗号化されたバックアップ・データとは別に保管し、強力なアクセス制御で保護する。機密データについては、専用の鍵管理サービスやハードウェア・セキュリティ・モジュールの使用を検討する。
アイデンティティとアクセス管理(IAM)ツールを使用して、包括的なアクセス制御を設定します。最小特権の原則を導入する-ユーザは必要な特定のバックアップデータにのみアクセスできるようにする。
バックアップアクセスの監視とアラートを設定します。バックアップ・データにアクセスしたとき、新しいバックアップが作成されたとき、バックアップ・システムに設定が変更されたときに通知を受け取る必要があります。
Duplicatorを使ってバックアップを管理している場合、自動的にバックアップ失敗の通知が届きます。
さらに、受信トレイに直接送信される定期的な電子メールのサマリーを設定できます。これらには、すべての新しいバックアップ、保存場所、スケジュールが含まれます。
Duplicatorは毎日、毎週、毎月、Eメールでサマリーをお送りします。サイトがいつバックアップされたかを正確に知ることができます!
定期的にバックアップをテストする
少なくとも四半期ごとにリストアテストを予定すること。特に重要なシステムについては、より頻繁に行うことが望ましい。
さまざまなタイプのリストア・シナリオをカバーする正式なテスト・スケジュールを作成する。サイト全体のリストア、部分的なリストア、データベースのみのリストア、ファイルのみのリストアをテストする。
それぞれのタイプのリストアで、異なる問題が発見されるかもしれない。
同じオペレーティング・システム、ウェブ・サーバー・ソフトウェア、データベースのバージョンを持つステージング・サーバーまたは開発環境を使用してください。
新しいステージングサイトを作成する必要がある場合は、ローカルにLocalWPまたはXAMPPをセットアップしてください。Duplicatorを使ってウェブサイトのフルサイトバックアップを作成します。
バックアップ・アーカイブ・ファイルをダウンロードします。ローカルステージングサイトの作成が完了したら、バックアップをインポートします。Duplicatorは自動的にステージングエリアにデータのコピーをセットアップし、テストできるようにします。
RTOおよびRPO目標に対するリストアパフォーマンスを測定し、文書化します。リストアが常にRTOの許容範囲を超えて時間がかかる場合は、バックアップ戦略を改善するか、目標を調整する必要があります。
よくある質問 (FAQ)
すべてのウェブサイトがバックアップ・コンプライアンスを心配する必要があるのか?
はい、訪問者から個人情報を収集する場合です。単純なコンタクトフォームやメール登録、基本的なアナリティクスのトラッキングであっても、個人情報を扱っていることを意味し、その情報のバックアップや保存方法にはコンプライアンスルールが適用されます。
ウェブサイトのバックアップはどのくらいの期間保存しておく必要がありますか?
ビジネスのニーズや規制要件によって異なるため、文書による保存ポリシーが必要なのです。あなたのビジネスとデータにどのような規制が適用されるかを確認することから始め、異なるタイプのバックアップの具体的な保存期間を書き出し、そのルールを守りましょう。
ユーザーからの「忘れられる権利」の要求にはどのように対処すればよいですか?
まず、本番のウェブサイトからそれらのデータを直ちに削除してください。バックアップについては、保存ポリシーに従ってください。古いバックアップファイルを手動で削除する必要はありません。
バックアップを保管する最も安全な場所はどこですか?
バックアップを保存する最も安全な場所は、オフサイトで暗号化され、適切なセキュリティ認証を受けている評判の良いクラウドプロバイダーです。3-2-1ルールに従ってください:2つの異なるタイプの記憶媒体にデータのコピーを3部保存し、1部はオフサイトに保存します。
コンプライアンスをバックアップ戦略の礎に
バックアップ・コンプライアンスとは、最も貴重なビジネス資産であるデータをどのように保護するかについて、意図的かつ組織的に取り組むことである。
バックアップ戦略に最初からコンプライアンスを組み込むことで、バックアップを単純な技術的作業から責任あるビジネスプロセスに変えることができます。
データが保護されているので、安心して眠れます。顧客からの信頼も高まります。また、災害が発生した場合でも、より迅速かつ完全に復旧することができます。
しかし、現実はこうだ。これらのコンプライアンス要件をすべて手作業で管理するのは、時間がかかり、ミスを犯しやすい。コンプライアンスを維持しながら、重労働を自動化できるツールが必要なのです。
Duplicator Proは、コンプライアンスの技術的な複雑さを自動的に処理することができます。AES-256暗号化、自動化された保存ポリシー、スケジュールされたテスト、12社のセキュアなクラウドストレージプロバイダーとのシームレスな統合を備えています。
バックアップがコンプライアンス要件を満たしているかどうかを心配する必要はありません。Duplicator Pro に技術的な詳細を任せて、安心してビジネスの成長に集中しましょう。
ここにいる間に、他の厳選されたリソースも気に入ると思う:
