GDPR とは
一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に可決された EU の法令です。個人データ (個人を特定する、または特定可能なすべての情報) に対する当人の制御を強化し、EU 全体で統一されたデータ保護規則を施行することを基本的な目的としています。この新しいデータ保護規則を遵守するには、技術的および組織的に適切な対策を実施し、個人データを保護しなければなりません。これらの対策には次のものがあります。
- 自社で扱っているデータの種類を把握し、そのデータの使用に必要な権限および権利を取得する。
- 自社で保管しているデータの種類に関する顧客、従業員、退職者からの問い合わせに回答する。不要になったデータの削除が必要になる場合もあります。
- プロジェクトを開始する前または最初の製品を作成する前に、プライバシーとセキュリティを検討し、プロジェクトのレビューを行う。
- セキュリティ インシデントの発生を認識してから 72 時間以内に管轄の規制当局に報告する。
- ベンダーにも自社のデータを保護することを義務付け、この取り組みに対する誓約を契約書に明記する。
GDPR の要件は EU 域内に所在する組織だけに適用されるわけではありません。EU 域内居住者の個人データを収集、使用、処理する世界中の企業および組織が対象となります。GDPR を遵守しない組織には、厳しい罰則と罰金が科される可能性があります。罰金の最高額は、年間総売上高の 2% もしくは 4%、または 1,000 万ユーロもしくは 2,000 万ユーロのいずれか大きい方です。
データ保護の方法を変える機会
ビジネス、技術、脅威の状況が進化し、より複雑になっていることから、EU 域内居住者の個人データを確実に保護することは、将来にわたって優先度の高い課題です。では、何から始めるべきでしょうか。 最初のステップとして、データ損失のリスクを評価します。次に、攻撃対象領域のインベントリを作成し、それらをより適切に保護する方法を検討します。最後に、個人データのセキュリティを実現するために、技術変革計画と GDPR のセキュリティ投資をどのように統合できるかを検討する必要があります。
ステップ 1: 継続的な検出と評価 — 個人データの検出、分類、インベントリ作成を行います。
ステップ 2: データ セキュリティ — エンドポイントとクラウド上で保存されている個人データや移動中の個人データを保護します。
ステップ 3: アプリケーション セキュリティ — データ センターとクラウド内の重要なアプリケーションを保護します。
ステップ 4: クラウド データ セキュリティ — クラウドにアップロードされる、クラウドに保存されている、またはクラウドからダウンロードされる個人データを保護します。
ステップ 5: 侵害と検出への対応 — 侵害を適時に検出、調査、修復するための重要なプロセスが整っていることを確認します。
