General Data Protection Regulation(GDPR:一般データ保護規則)は、企業がEU居住者のデータ取り扱い方法について確認することを定めています。全88ページのうち31ページは、条項の具体的な要件を定義するに役立つ、法的拘束力のない内容であり、さらに多くのページが、法律の施行を担当する部署や組織の説明に割かれています。GDPRには報告違反、事前の処理確認、特定言語でのベンダー契約作成など、具体的な要件も記載されています。しかしGDPRの目的はそれらではありません。GDPRは各企業が自社の環境を慎重かつ厳重に確認し、自社にあるデータを検証し、リスクに適したセキュリティ確保のための対策を講じることであり、人とデータを守るために設計された、データ保護態勢を自己分析するための規則です。このようにとらえることで、組織や企業は法の精神を守り、単にチェックボックスに印を付けるだけでなく、本当の意味で責任を負うようになるはずです。
「適切」および「適正」というのはセキュリティの世界では容易ではありませんが、GDPRには繰り返し登場します。GDPRでは、「適度なセキュリティアカウントレベルの判断では、特に処理に伴うリスクを考慮する必要がある。中でも送信、保存、あるいは処理している個人データの偶発的または違法な破壊、破損、改変、許可されていない開示やアクセスへの配慮が必要である。」と定められています。それは基本的なリスク評価のようですが、マカフィーではプロセス、製品、サービスをGDPRに整合させ、基本的なコンプライアンスを超えて、お客様のデータを最大限保護したいと考えています。
しかしこのように重要性の高いリスク評価ではどのような点に注意すべきなのでしょうか。適切なセキュリティ確保の確証を得るためにはどうすればよいのでしょうか。 ただし、これは法律的な助言ではないという点に注意してください。GDPRへのコンプライアンスのために何が必要なのかは各社で判断が必要です。
最終的な目的に向けての最初の一歩として、次の手順を検討しましょう。
- 範囲の設定:対象となるデータを持っているかを把握すること。あるかどうかわからないものを保護することはできません。EU居住者や、EUの関連会社だけでなく、すべての個人データをどこに、どのように保存しているのかを把握するための良い機会です。
- 保護:対象となる資産の保護方法を知りましょう。基本的な保護だけになっていませんか。もっと保護を高めることはできませんか。同僚はもっと保護していませんか。 自動的にデータ分類ポリシーに従っていませんか。あるいは社員が気付いてくれることを期待していませんか。 不要なデータを削除していますか。
- 監視と検知:悪意のある攻撃者や紛失、不本意な漏えいから保護するための技術を導入していますか(たとえば暗号化、データ漏えい防止、またウィルス対策ソフトウェアなど)。問題が発生したときの対処方法を知っていますか。
- レビュー:すべての新しいアプリケーションやクラウドサービスがレビュー済みであること、それをどのように使用しているのかを確認するプロセスはありますか。あらゆるプロジェクトの最初からプライバシーとセキュリティを考慮して、データ保護を設計に組み込んでいますか。
- 反復:GDPRでは「データを扱う際のセキュリティ維持のために、技術的/組織的対策の有効性を定期的にテスト、査定、評価するプロセス」が必要と定めています。
規則で定められている要件の中には、十分に理解できるまで数年かかるものもあります。その間に、規制当局と裁判所が、直面する課題に対処するための規制を発令したり判決を下すでしょう。GDPRへのコンプライアンスに至る過程は、企業ごとに異なります。ただしGDPRで最も重要な点は、社員と顧客の個人データの扱いを把握しておくこと、そして社内の個人データリスクの懸念を解消することです。GDPRをやみくもに恐れるのではなく、好機としてとらえましょう。つまり、データ保護プログラムが堅牢かどうかを見直し、セキュリティやビジネスを強化するための改善を行い、データを中心とした健全な改善を行うための機会としてとらえるのです。「個人データを人の役に立つように処理する」ことがGDPRの最終目的なのです。
2017年11月15日に開催したウェブキャスト(英語)もぜひご覧ください。
※本ページの内容は、2017年11月09日更新のMcAfee Blogの内容です。
原文:GDPR:Data-Protection Soul-Searching, Not Just Compliance
著者:Flora Garcia