Core Concepts
GDPR準拠のためのモデリング手法を提案し、既存のセキュリティおよびプライバシーモデリング手法(STRIDE、LINDDUN)とGDPRの要件を統合することで、非準拠の脅威を特定し、それらを軽減する包括的なソリューションを示す。
Abstract
本論文では、GDPR準拠のためのモデリング手法を提案している。主な貢献は以下の3点である:
GDPR準拠の脅威モデリング手法を設計・開発するための包括的なソリューションアプローチを提示する。モジュールやコンポーネントの仕様、要件、コンポーネント間の相互作用を含む。
知識ベースの構築、新しいデータフロー図(DFD)の提案、推論エンジンの活用など、実装のリファレンスを提供する。
法的根拠と説明責任に関する非準拠の脅威について、テレヘルスサービスシステム(TSS)のユースケースを用いて提案手法を実証する。
提案手法では、既存のセキュリティおよびプライバシーモデリング手法(STRIDE、LINDDUN)とGDPRの要件を統合している。新しいDFDを提案し、GDPR関連の役割や関係性を表現できるようにした。また、GDPR準拠に関する知識ベースを構築し、推論エンジンを活用して非準拠の脅威を特定する。
TSSのユースケースでは、同意の欠如、消去権の不履行、説明責任の欠如といった非準拠の脅威を特定した。提案手法の実現可能性と有効性が示された。
Stats
IF DS.Provide{Consent}=NOT AND DC.Provide{DS.ConsentRequestForm}=NOT
THEN {non-Consent}
IF DS.Request{DC.EraseData} AND DC.Request{GDS.CleanData}=NOT AND
DC.Request{DP.EraseData}=NOT AND DP.Request{GDS.CleanData}=NOT OR
GDS.Response.{cleanData}=Not AND DC.Notify{RecipientAboutErasingData}=NOT AND
DP.Notify{RecipientAboutErasingData}=NOT AND DC.Accom Request{EraseDataWithin28Days}=NOT AND
DP.Accom Request{EraseDataWithin28Days}=NOT
THEN {non-provided right to erasure}
IF DS.Complain{RM.DataBreach} AND DC.Report {RM.DataBreach}=NOT AND
DP.Report{RM.DataBreach}=NOT
THEN {non-accountability}