GDPRを恐れるな – セキュアなIT環境という文化を構築するカギ

組織のセキュリティ対策
2018.3.23

多くの企業がサイバー対策のプロセスと能力を一定の水準に高め、2018年5月の施行開始に間に合わせたいと考えています。しかし、IT脅威は進化しており、新たな技術が、新たなリスクやサイバースキルの弱点を生み出していることから、CIOやIT担当責任者はGDPRの施行に準備を間に合わせるのみならず、その後の対応も十分検討する必要があります。

GDPRは、CIOやIT担当責任者にとって、セキュリティのプロとしてのキャリアにおける一度きりと言ってよいチャンスになります。自社のIT関連のプロセスやセキュリティ能力を最新のサイバーセキュリティ対策やサービス提供方法に変革することができる機会です。

1 GDPRに対する英国の姿勢
2 一世一代のチャンス
3 セキュアなIT環境という文化の構築
4 変化を受け入れる

GDPRに対する英国の姿勢

まだ準備が進んでいない企業が多いなかで、GDPRは世界中の企業がEU居住者のデータを取り扱う方法を劇的に変えることになります。欧州の新しい法的枠組みから、データの収集から処理、保存、利用、破棄に至るデータライフサイクル全体に影響を及ぼす規則が定められます。

具体的な規定はありませんが、規制は企業が個人データを保護するために適切な対策を講じるよう定めています。適切な対策を講じなかった結果、違法な処理やデータ漏えいが発生した場合、あるいはその報告を怠った場合、多額の罰金が科せられます。

英国政府はGDPRの支持を明確に表明しており、GDPRを活用して、経済全体におけるサイバーリスク管理を強化したいと考えています。2016年末に発表された『Cyber Security Regulation and Incentives Review』で、英国政府はGDPRの定める侵害報告要件や罰金規定が業界に及ぼす大きな影響を指摘しています。

一世一代のチャンス

大企業から中小企業まで、多くの企業が物理的な資産を中心とする従来型のビジネスモデルから、データ中心のビジネスモデルに移行しています。クラウド、モバイル、IoTの進化でデジタルトランスフォーメーションが進み、市民や社員のデータ保護のために企業が対応しなければならない新たな課題も生じています。

新しい技術と新しい規制の組み合わせによって、今後1年以上は膨大なタスクが発生しそうですが、CIOやIT担当責任者はGDPRを好機ととらえるべきです。個別に対応したり、単独で対応するというものではなく、新たな規制がサイバーセキュリティとセキュアなデータ管理の必要性を高め、経営幹部層が注目するところになってきています。

CIOとCISOはこの機会をとらえて、サイバーセキュリティに対するアプローチを一新し、ビジネスの変革と成長を実現する機能としてITを新たに位置付けるために、予算を確保し、プロセスを確立するべきです。

セキュアなIT環境という文化の構築

多額の罰金に対する恐怖心や、「privacy by design（設計段階から個人情報保護機能を組み込む）」という概念に後押しされ、CIOやCISOは、おそらくはかなり久しぶりに、全社の支持のもとにセキュアなIT環境という文化を構築することになるでしょう。中でも、個人データの保護をこれまでになく重視するようになります。

これはシャドーITの大幅な拡大など、多くのIT部門が現在直面しているいくつかのセキュリティ上の課題にも大きな影響を及ぼします。McAfee Labs Reportによると、調達の容易さから、クラウドサービスの40%近くがIT部門の関与なく導入されており、毎年シャドーITサービスが目に見えないところで拡大していることがわかりました。

IT専門家のうち65%が、このような現象によってクラウドの安全性やセキュリティが損なわれていると考えています。パブリッククラウドに保存されている機密情報の量を考えると、これは当然のことで、回答者の半数以上（52%）が、クラウドSaaSアプリケーションからのマルウェアを検出したことがあると回答しています。

GDPRによって予想外の結果が生じることを恐れる他の取締役の支持を得て、CIOやIT部門の責任者は、初めて社内のシャドーITを取り締まる権限を得ることになります。