GDPR:その目的と企業の責任

2018年6月5日

デジタル変革が進み、私たちはデータ中心時代の只中にいます。ちまたには個人情報があふれています。自分のデータがどのように扱われているのか、誰がそれにアクセスできるのかを、データの主体である本人が把握していない場合もあります。個人情報をどう扱うか、オンラインでどう保持するかに十分な注意を払っていない企業もあります。こうした状況は、虎視眈々とデータを狙う人々にとって好機となっています。EUのGeneral Data Protection Regulation(一般データ保護規則)は、これらの問題に対処するために制定されました。

GDPRとは何か、その役割は

GDPRは、個人を識別できる情報について、本人が管理する権利を有すること、また企業が法に従って個人情報を使用し、安全に取り扱うことに重点を置いて策定が進められてきました。GDPRは、データを管理する人々と処理する人々の双方に、自らの責任を明確に理解させるものなのです。

GDPRが目指すところは、個人情報を保護するためのプロセスと技術が、規約に則り効果的に運用されるようにすることです。したがって、GDPRの順守は達成したら終了するような一度限りのタスクではなく、定期的な評価と調整が求められます。規則条文の字面を追うだけではなく、データのセキュリティを確保するために実際に行動を起こさなければなりません。企業では、自社のプロセスや保護対策を継続的に見直す必要があります。

取り得る対策

言うまでもなく、効果的なサイバーセキュリティ技術を運用することと、GDPRに準拠することとは同義ではありません。しかしながら、コンプライアンスの実現において、サイバーセキュリティが要となることは確かです。具体的には、以下のアクションが重要となってくるでしょう。

  • エンドポイントの保護 – まずはここからです(モバイルデバイスの監視も含みます)。サイバー犯罪者はエンドポイントから侵入してくることが多く、エンドポイントで個人情報を直接扱っていないとしても、リスク要因になる可能性はあります。
  • データの暗号化 – 保管してあるデータも活用中のデータも、暗号化によって保護しましょう。業務で使用するデータストレージのセキュリティ対策は万全に。
  • ゲートウェイとメールサーバーの多層保護 – 保護手段の多層化により、「人的要因」によるリスクを軽減させます。
  • インフラの定期点検 – インフラに弱点がないかを定期的にチェックし、社外の誰かが見つけてしまう前に対処しましょう。侵入テストとセキュリティ評価もお忘れなく。
  • インフラ内でのインシデントの把握 – インフラ内で起きていることを把握しましょう。セキュリティ侵害が発生したとき、原因を突き止めることができれば、今後のリスクを軽減できるだけでなく、データ保護のために妥当な対策を施してきたことの証明にもなるでしょう。

Kaspersky Labでは、データ漏洩のリスクを減らし、セキュリティインシデントの発生を防止し、監視対象インフラの可視性を改善するための手段を数多く取りそろえています。個人情報の保護にも効果を発揮するこれらソリューションの詳細については、当社WebサイトのGDPRのページ(英語)および法人向け製品ページをご覧ください。