GDPR 対応に関する IBM App Connect Professional (ソフトウェア) の考慮事項
組織で一般データ保護規則 (GDPR) に対応するために考慮する必要がある、IBM® App Connect Professional の構成可能な機能と、この製品の使用の様々な側面について説明します。
特記事項:
本資料は、GDPR 作動可能の準備に役立てることを目的としています。本書には、構成可能な IBM Integration Bus の機能に関する情報が記載されているほか、お客様の組織における GDPR 対応の準備に役立つ、考慮すべき製品使用の側面に関する情報も記載されています。 この情報は、多くの方法でお客様が機能を選択し、フィーチャーを構成することができ、かつ多様で膨大な方法にてこの製品を単体で使用、およびこの製品を第三者のアプリケーションやシステムと組み合わせて使用することができるため、網羅的なリストではありません。
お客様自身が欧州連合の一般データ保護規則を含む各種法令を遵守するために必要な措置を講ずるのはお客様の責任です。お客様のビジネスに影響を与える可能性がある関連法および法的要求事項の 確認と解釈、並びにかかる法を遵守するためにお客様がとる必要のある措置に 関して、弁護士の適切な助言を得ることはお客様のみにかかわる責任とさせて いただきます。
ここに記載されている製品、サービス、およびその他の機能は、すべてのお客様の環境に適合するとは限らず、使用可能性が制限されることがあります。 IBM は、法律、会計または監査に関する助言を提供することはしませんし、IBM のサービスまたは製品が、お客様のあらゆる法令遵守の裏付けとなる表明または保証もいたしません。
目次
GDPR
欧州連合(EU)により一般データ保護規則 (GDPR) が採択され、2018 年 5 月 25 日より施行されています。
GDPR が重要である理由
GDPR により、個人に関する個人データの処理に関する、より強固なデータ保護規制の枠組みが確立されます。 GDPR は、以下をもたらします。
- 個人の新規権利および拡張された権利
- 個人データの定義の拡大
- 処理者の新しい義務
- 不遵守に対して高額の制裁金の可能性
- 強制的な情報漏えいの通知
GDPR についての詳細
- (EU GDPR 情報ポータル)[https://www.eugdpr.org/]
- (ibm.com/GDPR Web サイト)[http://ibm.com/GDPR]
GDPR の製品構成
以下の各セクションでは、お客様の組織において GDPR 対応の準備を行うための IBM App Connect Professional の構成に関する考慮事項を紹介します。
データのライフサイクル
IBM App Connect Professional (ACP) は、データがサード・パーティーのアプリケーション間で渡されるときに、そのデータをユーザーがルーティングおよび変換できるようにする汎用統合エンジンです。ACP は、特注アプリケーションに接続するために、多数のプロトコルおよびデータ形式をサポートし、一般的なパッケージ・アプリケーションと通信できる事前作成コンポーネントを提供します。そのため、ACP は多くの形式のデータを扱い、その一部が GDPR の対象となる可能性があります。多くの場合、データは ACP アーキテクチャーをリアルタイムで通過し、ACP はオンライン・エンドポイントへの同期接続を行います。一方で、ACP は、メッセージング・システム (IBM MQ などの従来型オンプレミス・メッセージング・システム)、データベース (リレーショナル・データベースおよび NoSQL データベース)、およびローカルまたはリモートのファイル・システム、E メール・システム、その他の CRM システムおよび ERP システムで保持されるデータなど、永続形式のデータとも対話します。
ACP がデータ交換を行う可能性のあるサード・パーティー製品はいくつかあります。その一部は IBM 所有ですが、その他の多くは他のテクノロジー・サプライヤーから提供されている製品です。GDPR への対応をサポートするサード・パーティー製品を検討している組織の場合は、その製品の資料を参照してください。
ACP ユーザーは、ACP がその内部を通過するデータと対話する方法を、オーケストレーション (データ・フロー) の定義によって制御します。オーケストレーションは一般に、ACP Studio で作業している、「ACP 開発者」の役割を担うユーザーによって構成されます。オーケストレーションは、ACP 開発者によって順番にワイヤリングされる一連の個別のビルディング・ブロック (コネクターと呼ばれます) から構成されます。コネクターはグラフィカルに構成されます。
ACP をフローするデータのタイプ
IIB は汎用統合エンジンであり、ユーザーごとにユース・ケースが異なるため、この質問に対する 1 つの明確な回答はありません。しかし、ACP を使用して以下のカテゴリーに関連するデータと対話する可能性は十分にあります。
- お客様の雇用者 (例えば、ACP を使用してお客様の給与計算システムまたは HR システムに接続する場合など)
- お客様自身の顧客の個人データ (例えば、お客様が ACP を使用してクライアントに関連するデータを変換する場合など。例えば、見込み客情報を取得したり CRM システム内にデータを格納したりする場合があります)
- お客様自身の顧客の機密性の高い個人データ (例えば、臨床アプリケーションを統合するときの HL7 ベースの医療記録のように、ACP を介した個人データの伝送を必要とする業界特有の状況で ACP を使用する場合など)
IBM とのオンラインによる連絡のために使用される個人データ
ACP のお客様は、主に以下のようなさまざまな方法を使用して、ACP について IBM に連絡するために、オンラインでコメント/フィードバック/要求を送信することができます。
- IBM developerWorks の IBM Integration コミュニティー内のページにあるパブリック・コメント領域
- IBM Knowledge Center 内の ACP 製品資料のページ上のパブリック・コメント・エリア
- dWAnswers の Integration Bus スペース内のパブリック・コメント
- IBM Integration コミュニティーのフィードバック・フォーム
通常は、お客様の名前と E メール・アドレスを使用するだけで、連絡の用件に関する個別の返信を送信できます。個人データの使用は、『IBM オンラインでのプライバシー・ステートメント』に準拠しています。
データ収集
ACP を使用して、個人データを収集できます。ACP の使用および GDPR の要求を満たす必要性を評価する場合、ACP を通過する個人データのタイプを考慮する必要があります。次のような側面を考慮してください。
データは ACP オーケストレーションにどのように到着するか (同期/非同期のいずれであるか。使用されるプロトコルは何か。データは暗号化されるか。データは署名されているか。)
データは ACP オーケストレーションからどのように送信されるか (同期/非同期のいずれであるか。使用されるプロトコルは何か。データは暗号化されるか。データは署名されているか。)
データは ACP オーケストレーションを通過する際、どのように保管されるか (本書の『データのライフサイクル』セクションで示された製品機能のいずれかを使用するか。その場合、製品を通過するデータの側面をそれらの機能がどのように公開する可能性があるかを把握しているか。)
サード・パーティーのアプリケーションにアクセスするために ACP で必要な資格情報をどのように収集および保管するか。
ACP は通常、DB2 や SAP などサード・パーティーのアプリケーションやシステムと通信する必要があり、こうしたシステムの多くは ACP による認証を必要とします。必要に応じて、そのような通信で使用するために認証データ (ユーザー ID、パスワード、および API キー) が ACP によって収集および保管されます。
元々意図していないメッセージ・フローで個人の資格情報が使用されないようにするため、可能な限り個人の資格情報を ACP の認証に使用しないようにしてください。いずれの場合も、認証データに使用されるストレージの保護を検討してください。
データ・ストレージ
データが通常の操作の一部として ACP オーケストレーションを通過する際、ACP が義務的に直接そのデータをステートフル・メディアに保持することはありません。ただし、ACP のユーザーは、「persistence=enabled」または「logging level=all」を構成することができます。それにより、ログ内の一部の機密データを保持したり、データベースに保持したりすることができます。そのため、ACP はデータを直接ステートフルなストアで保持することはありませんが、関連して、ACP ユーザーには、ログまたはデータベースに書き込まれる Data at Rest (保存されたデータ) を保護することを検討することをお勧めします。
Data at Rest (保存されたデータ) を暗号化しないことによるリスクを軽減するために、お客様には、いずれのケースにおいても、ロギング・レベルを INFO または FINEST で使用可能にすることはお勧めしません。CRITICAL にのみ設定する必要があります。
App Connect Professionalのオーケストレーションを設計する際、オーケストレーション・ジョブを停止させる障害が発生した場合に、未完了のデータ変数の保管を許可しないように、お客様はパーシスタンス設定を DISABLED に設定できます。ただし、パーシスタンスを無効にすると、オーケストレーションの再始動時に元のジョブは完了しません。また、一部のユース・ケースでは、いくつかのアクティビティーでパーシスタンスが必要になります。
詳しくは、以下を参照してください。
データ・アクセス
ACP 所有のデータは、以下の一連の定義済み製品インターフェースからアクセスできます。リモート接続によってアクセスするように設計されているものと、ローカル接続によってアクセスするように設計されているものがあります。
- Web 管理コンソール [リモート、ブラウザー・ベースのみ]
- コマンド・ライン・インターフェース
Web 管理コンソール (WMC) は、統合アプライアンスによってホストされるブラウザー・ベースのアプリケーションです。
WMC では Web ブラウザーを使用して、統合アプライアンスのハードウェア、オーケストレーション、およびネットワーク状況を構成および監視できます。システム管理者は WMC を次のモニター・タスク用に使用できます。
- 統合アプライアンスの状況情報の取得 (メモリー使用統計、ディスク・スペース統計、CPU 状況、ファン状況、および電源機構状況など)。
- 処理情報全体の一覧を取得した後、特定のオーケストレーションをドリルダウンして、特定のメッセージ、アクティビティー、エラー、およびその他の詳細に関する包括的な情報の取得。
- ログおよびエラー通知の表示。
WMC に加えて、コマンド・ライン・インターフェース (CLI) を使用して多くの管理タスクおよびモニター・タスクを実行することもできます。 CLI について詳しくは、コマンド・ライン・インターフェースのリファレンスを参照してください。
詳しくは、以下を参照してください。
認証:
Web 管理コンソール (WMC) は、Web ベースの管理ツールで、以下を実行できます。
- 統合アプライアンスの管理
- 統合プロジェクトの管理
- 統合プロジェクトのモニター
複数の WMC から同じ統合アプライアンスにアクセスできます。 ただし、各 WMC は一度に 1 つの統合アプライアンスのモニターおよび管理のみを行うことができます。 WMC で実行できるタスクは、ログインに使用するユーザー・アカウントによって異なります。 WMC には組み込みグループがあります。それらのグループを使用して、統合アプライアンスへのアクセスをさらに制御できます。 あるいは、ユーザーおよびグループの認証および許可を管理するための LDAP サーバーを指定できます。
ロール・マッピング:
すべてのユーザーに割り当てることができる各種役割については、『許可』セクションを参照してください。
許可:
ACP では、テナントおよび環境ごとに使用可能なさまざまな許可レベルがあります。ACP の各ユーザーには、各環境に必要な許可のレベルのみを割り当てる必要があります。
以下のリストに、各組み込みグループに付与される許可を定義します。
- テナント管理者グループ。 特定のテナント内のすべての環境、ユーザー、グループ、およびプロジェクトに対する特権を提供します。テナント内のユーザーおよびカスタム・グループをユーザーが作成、編集、および削除できるようにします。このグループのユーザーは、テナント内の任意の組み込みグループまたはカスタム・グループのユーザーを追加および削除できます。このグループのユーザーは、テナント内のすべてのソース・プロジェクトの許可を表示、編集、および削除できます。
このグループのユーザーは、テナント内のすべての環境を表示でき、また各テナント環境内の環境管理者のすべての許可を備えています。
- 環境管理者グループ。特定の環境内のすべてのユーザー、グループ、およびプロジェクトに対する特権を提供します。ユーザーが、特定の環境内のユーザーおよびカスタム・グループを作成、編集、および削除できるようにします。このグループのユーザーは、環境内の任意の組み込みグループまたはカスタム・グループのユーザーを追加および削除できます。
環境管理者は、任意の環境パブリッシャーが公開するプロジェクトのプロジェクト構成を作成およびデプロイしたり、環境内の任意のプロジェクト構成のオーケストレーション・ジョブ詳細を表示したりすることもできます。環境管理者グループ特権を備えたユーザーは、同じ環境のパブリッシャーが個別プロジェクト構成に設定した許可を編集できます。
環境管理者グループのメンバーが 環境パブリッシャー・グループ特権および環境ユーザー・グループ特権を持つ場合でも、ユーザーを明示的に追加しない限り、 環境管理者グループのメンバーは同じ環境に属する他のグループに表示されません。
- 環境パブリッシャー・グループ。特定の環境内のプロジェクト特権を提供します。ユーザーが、自ら環境内に公開した任意のプロジェクトのプロジェクト構成を作成、デプロイ、または削除できるようにします。このグループのユーザーは、オーケストレーションを開始および停止したり、自分が環境内にデプロイしたプロジェクト構成のオーケストレーション・ジョブ詳細を表示したりすることもできます。環境パブリッシャーは、自分が作成する個別プロジェクト構成の許可を、同じ環境の環境パブリッシャー特権を備えた別のユーザーに付与できます。
ユーザーを明示的に追加しない限り、 環境パブリッシャー・グループのメンバーは環境ユーザー・グループに表示されません。
- 環境ユーザー・グループ。ユーザーが、特定の環境内のアラートおよびオーケストレーションをモニターできるようにします。このグループのユーザーは、プロジェクトを作成および編集できますが、プロジェクトを環境に公開できません。プロジェクトの公開先となる特定の環境のパブリッシャー特権を備えている必要があります。すべてのユーザーは、自動的に環境ユーザー・グループのメンバーになります。
マルチ環境テナントでは、このグループのユーザーには、自分がメンバーである環境の環境タブしか表示されません。例えば、テナントに「開発」環境、「ステージング」環境、および「実稼働」環境があるものとします。テナント管理者または「開発」環境の管理者がユーザーを User [開発] グループに追加したとします。ユーザーがテナントにログインすると、テナントには他に 2 つの環境があるのにもかかわらず、ユーザーには「開発」環境しか表示されません。
詳しくは、以下を参照してください。
ロギング管理アクティビティー:
管理アクティビティーはシステム・ログに記録されます。
データ処理
IBM App Connect Professional (ACP) のユーザーは、ACP ランタイムにデプロイされるオーケストレーションの定義および構成によって、ACP が個人データを処理する方法を制御できます。メッセージ・フローは、入力データがスターター・アクティビティーを介して ACP に到着すると処理を開始し、ACP 終了アクティビティーまたは要求ノードからデータが送信されると完了します。多数のプロトコルがサポートされており、その中には、ACP との間で受け渡される際にデータを暗号化するためのプロビジョンも含まれます。暗号化は、読み取り可能な形式からエンコード・バージョンにデータを変換する手段となります。別のプログラムは、復号鍵にアクセスできる場合のみ、このデータをデコードできます。
暗号化:
App Connect Professional 管理者は、必要に応じてデータを暗号化するために、サポートされる暗号化アクティビティーのいずれかを使用する権限を持ちます。管理者は、暗号鍵を所有します。
詳しくは、以下を参照してください。
- https://www.ibm.com/support/knowledgecenter/en/SS3LC4_7.5.3/com.ibm.wci.doc/toc_cryptoserviceactivities.html
- https://www.ibm.com/support/knowledgecenter/en/SS3LC4_7.5.3/com.ibm.wci.doc/AES_Encrypt_function.html
Data at Rest (保存されたデータ) を暗号化しないことによるリスクを軽減するために、お客様には、いずれのケースにおいても、ロギング・レベルを INFO または FINEST で使用可能にすることはお勧めしません。CRITICAL にのみ設定する必要があります。
詳しくは、以下を参照してください。
データ削除
App Connect Professional において、デフォルトでは、アプライアンスは、アプライアンスで以下のいずれかの条件が発生した場合に、 経過日数が 30 日を超えているオーケストレーション・モニター・ログをパージします。
- 使用可能なディスク・スペースの量が 50% を下回っている。
- 最後のパージから 1 日が経過している。
- 完了したオーケストレーション・ジョブの数が 5,000 件を超えている。
- エラーが含まれたオーケストレーション・ジョブの数が 1,000 件を超えている。
WMC を使用すると、以下を決定するアプライアンスのジョブ・ログ・パージ・パラメーターを構成できます。
- トリガー条件 (Trigger Conditions) - アプライアンスによるオーケストレーション・モニター・データのパージを起動する条件。
- 頻度 (Frequency) - オーケストレーション・モニター・データをパージする頻度。
- ジョブの範囲 (Job Scope) - パージするオーケストレーション・モニター・データの種類。https://www.ibm.com/support/knowledgecenter/en/SS3LC4_7.5.3/com.ibm.wci.appliance.doc/Working_with_Logs/purgingJobLogs.html
すべてのビジネス・データはジョブ・ログに格納され、管理者はログをパージするアクセス権限を有します。https://www.ibm.com/support/knowledgecenter/en/SS3LC4_7.5.3/com.ibm.wci.appliance.doc/Working_with_Logs/purgingJobLogs.html
データ・モニタリング
App Connect Professional は、システム・ログ、ジョブ・ログ、オーケストレーション・ログなど、システムへのアクセスおよびシステムに適用される変更をモニターするための十分なツールを管理者に提供します。各種ロギング・レベルの使用法について詳しくは、 『ロギング』を参照してください。いずれのインスタンスについても、管理者がビジネス・データをログに記録したくない場合は、ロギング・レベルを「INFO/ALL」ではなく「Fatal」に設定する必要があります。
App Connect Professional は、失敗した実行をデバッグするために、ジョブ・ログでデータ・モニターを使用可能にする機能を提供します。お客様がジョブ・ログ内のビジネス・データを使用可能にしたくない場合は、ロギング・レベルに「FATAL」を指定する必要があります。
詳しくは、以下を参照してください。
個人データの使用を制限するための機能
App Connect Professional は、エンド・ユーザーの要求に従ってジョブ・ログに保管されている特定の情報を削除するために、スケジュール、トリガー条件などの特定の基準に基づいてログをパージするためのアクセス権限を管理者に提供します。 https://www.ibm.com/support/knowledgecenter/en/SS3LC4_7.5.3/com.ibm.wci.appliance.doc/Working_with_Logs/purgingJobLogs.html
本書に要約されている機能を使用すると、App Connect Professional によって、エンド・ユーザーが自分の個人データの使用を制限できるようになります。GDPR の下で、ユーザーは、アクセス、変更、および処理制限の権利を持っています。 以下を制御するために、この資料の他のセクションを参照してください。
- アクセス権限
- App Connect Professional の管理者は、App Connect Professional の機能を使用して、個人にデータへのアクセスを提供できます。
- App Connect Professional の管理者は、App Connect Professional の機能を使用して、App Connect Professional が個人について保有しているデータに関する情報を個人に提供できます。
- 変更権限
- App Connect Professional の管理者は、App Connect Professional の機能を使用して、個人が自身のデータを変更または修正できるようにすることができます。
- App Connect Professional の管理者は、App Connect Professional の機能を使用して、個人のデータを代わりに修正できます。
- 処理を制限する権限
- App Connect Professional の管理者は、App Connect Professional の機能を使用して、個人のデータの処理を停止できます。