最近様々なセキュリティ関連のカンファレンスやイベントでEU 一般データ保護規則(GDPR)について話をさせていただく機会が多くありました。アメリカのISSA、ドイツのCeBIT、デンマークでのC-Cure/DEXCEO、ロンドンでのテレグラフ ビジネス レポーター、そして一番新しいところでは、東京で開催されたSecurity Daysです。こうした国々では、GDPRに関する関心が高まってきていることは明らかになりました。東京では、日本で開催される2020オリンピックとの関連で、ペイメントカード業界データセキュリティ基準(PCI DSS)が注目を集めています。
別々のフレームワークではありますが、PCI DSSで要求しているセキュリティを保つデータがGDPRで要求されているものの一部だと言っても飛躍し過ぎだということはないでしょう。さらに、GDPRコンプライアンスに必要とされている潜在的な要求事項の多くはPCI DSS用に要求されているものと同じなのです。
両者の主要な違いは、PCIコンプライアンスの影響を軽減するために事業者はクレジットカード支払いのプロセスをアウトソースすることが出来るのに対して、GDPRに関しては、たとえ組織の所在地がどこであろうとも、事業者は自社が持つEU市民の個人情報に直接影響を受け、責任があるということです。
「忘れられる権利」が最大の課題
GDPRには多くの要求事項があり、そのほとんどはまったく新しいものです。コンプライアンス上最も難しいのは、「忘れられる権利」としても知られている同意の撤回の部分でしょう。これは、インターネットのより広いコンテキストにおいて一段と進歩してきた分野です。ビジネス上は、要求をしているEU市民にどこにデータがあるか見つけることができ、すべての関連データを消去することができるということを意味します。データベース上の情報においては比較的簡単ですが、ノートPC、ファイルサーバーやクラウド上にある、組織化されていないデータについては組織にとって重大な問題を作り出します。これから挙げるステップに従えば、優先事項にフォーカスでき、コンプライアンスが加速するでしょう。
GDPRコンプライアンス プロジェクトの5つ重要ステップ
組織のほとんどは、GDPRのコンプライアンスの必要性を一度理解すると、次の疑問はどこから手を付けるかということです。私のプレゼンでは、業界や規模、事業を行う国に関わらず、どの組織にも通用するGDPRコンプライアンスへの実践的なアプローチを提案いたします。
1)一般データ保護規則の基本を理解する
規則をダウンロードして読み、企業が従うべきローカルで実施される他の規制とどこが重なるかを理解します。次に、リスクマネージメント、ITシステムやポリシーといった社内の基準をどのように計画するかを考えます。
2)組織の内外でGDPRに関係するデータの流れを把握する
機密データを扱い、シェアする組織内の様々な部署が一緒になってデータフローのエクセサイズに取り掛かります。「モニター」目的で技術をうまく使って、組織の中と外から機密データの流れを可視化できるようにするのです。
3)GDPRに関係するデータが組織内のどこに保存されているか/あるかを見つける
組織全体にわたって保存データのスキャンを実行します。スキャンの結果、GDPRに関係するデータを含むファイルのリストとそうしたデータがどこにあるか(例、エンドポイントデバイス、サーバーなど)が分かります。このことは新規制の下での「忘れられる権利」要求に関して絶対に必要となりますが、同時にコンプライアンスの複雑さをより良く理解するためにも使われます。
4) GDPRコンプライアンスのアクションプランとスケジュールを作る
マッピング、モニター、スキャンの結果、データを実行するプロセスとセキュリティ技術の間にギャップがあることがクローズアップされたと思います。GDPRの施行(2018年5月)までに組織が効果的にコンプライアンス遵守できているようにするため、こうして見つけたことをアクションプランや厳密なスケジュールに書類として落とし込み、必要な変更や改善を行います。
5) プロジェクトとGDPRコンプライアンスをサポートしてくれるようなテクノロジーを導入する
GDPRコンプライアンスプロジェクトの一翼を担うのはテクノロジーです。規制の遵守と、進行中のコンプライアンスの維持の助けになります。手作業によるデータ保護プロセスを自動化し、セキュリティポリシーを強化し、組織内外のデータフローを可視化し、機密データのセキュリティと保護を向上させるような技術を選択しましょう。GDPRコンプライアンスについての詳細はこちらをお読みください。
GDPRコンプライアンスは絶好の機会です!
GDPRコンプライアンスの準備には組織内の人、プロセス、テクノロジーの分析と調査の両方が必要です。そして、これは実は企業がどのようにオペレーションしているか、ビジネスを行う上で共同作業をどう展開していくか、に関して詳細な理解を得られる機会を与えてくれるのです。
よく練られたGDPRコンプライアンスプロジェクトはデータ侵害のリスクを軽減するだけではなく、GDPRの遵守の手助けにもない、結果としてお客様や見込み客の信頼を向上することになり、ビビジネスの発展につながるのです。
GDPRコンプライアンスの幸先のいいスタートを切るために、クリアスウィフトにお問い合わせください。
ガイバンカー博士、クリアスウィフト製品およびマーケティング担当上級副社長