GDPR対策にデータ追跡と暗号化が必須な理由：巨額の罰金を食らう前に対策を（1/2 ページ）

新しいEU一般データ保護規則（GDPR）が施行される2018年5月25日まで、残り1年を切った。専門家は、GDPRのコンプライアンスにデータの追跡や暗号化などの手段が重要になると説明する。

≫ 2017年07月24日 05時00分公開

関連キーワード

SIEM（セキュリティ情報イベント管理） | コンプライアンス | データセキュリティ

顧客との関係改善に個人データ保護は必須との見方も

　EUが一般データ保護規則（GDPR）を正式に施行するまで、1年も残っていない。GDPRコンプライアンスの複雑なプロセスを企業が無事に乗り切るには、差し迫る期限や予測される罰金以外にも把握するべきことがある。

　GDPRは、2018年5月25日に施行される。施行後にEU居住者の個人情報保護（注1）に違反すると、企業は年間収益の4％または2000万ユーロのいずれか高い方という高額な罰金を科される恐れがある。一部の専門家は、「GDPRの保護対象は、実在する人間の個人情報である」という点を、同規制の順守を目指す企業は忘れてはならないと指摘する。

※注1※EU市民の個人データを扱う企業は、個人データが侵害され、その被害が「当該個人の権利や自由を阻害する」と判断された場合、データ侵害発覚後72時間以内に監督機関に通知しなければならない

　デトロイトに本社を置くメインフレームソフトウェア企業Compuwareでメインフレームテクニカルディレクターを務めるエリザベス・マクスウェル氏は、「個人データを、単に普段扱う情報のうちの1つにすぎないと考える社員があまりにも多い。そうした社員は、個人データを商品程度にしか思っていない」と語る。

「個人データは実在の人物のもので、その扱いには敬意を払わなければならない。企業の社員は、個人データに目を向ける際、そのデータの持ち主の立場に立って考える必要がある。個人データが悪用されたことで、精神的な苦痛や詐欺被害などを受け、自分の信用にも傷が付いたら、当事者は何を感じるだろう」（マクスウェル氏）

　ニュージャージー州ティントンフォールズに本社を構えるデータ保護企業Commvaultでソリューションマーケティングディレクターを務めるパトリック・マグラス氏も同意見だ。同氏によれば、企業は個人データを保護する必要がある。その事実は、企業が自社のデータセンターやサードパーティーのクラウドなど、どこに個人データを保存していても関係ないという。

　「漏えいしたデータが、企業が直接管理するオンプレミス型システムに保管されたものではなかったとしても、企業には個人データが漏えいした可能性の有無を突き止める責任がある。もし漏えいしていた場合は、通知手続きをとらなければならない。個人データの持ち主は、企業の顧客や見込み客であり、支援者であり、従業員なのだ」とマグラス氏は話す。

　カリフォルニア州マウンテンビューに本社を置く顧客IDおよびアクセス管理企業Gigyaで、マーケティング部門のシニアバイスプレジデントを務めるジェイソン・ローズ氏は、GDPRによって企業内外の連携が深まる可能性があると語る。

　「各部門の連携なくして、GDPRの順守は不可能だ。セキュリティ担当者は、マーケティング部門やIT部門、法務部門と密接に連携する必要がある。GDPRの1要素である『プライバシーバイデザイン』が、企業の顧客に対する姿勢に新たなアプローチを求めているためだ。具体的には、企業が顧客に自身のデータの完全な管理権を与えることや、顧客データの使用方法を示した明快かつ簡潔な利用規約を提示することなどが要求されている」（ローズ氏）

GDPRコンプライアンスはチャンスか、脅威か

　多くの企業にとって、新たなデータプライバシー規則の順守は、重い負担に見えているようだ。既存のプライバシー規制を既に負担と感じている企業にとっては、なおさらだ。こうした規制には、HIPAA（Health Insurance Portability and Accountability Act of 1996）、サーベンス・オクスリー法（SOX法）、PCIデータセキュリティ標準（PCI DSS）などがある。ペンシルベニア州ラドナーを拠点とするデジタルワークスペース企業RES Softwareでディレクターを務めるレーシー・グルーエン氏は、企業がGDPRをチャンスと捉えるべきだと主張する。

　「GDPRを順守すれば、実は高いROI（投資利益率）を実現できる可能性がある。データ保護戦略を整備してしまえば、GDPRコンプライアンスを投資対象の1つと見なせる。ユーザーデータの保管方法と処理方法を改善するための投資ということだ。あらゆるデータの保管場所や保管理由、アクセス権限などを企業が正確に把握していれば、データ分析に基づく意思決定の改善だけでなく、データ漏えいやその他のサイバーリスクへの防衛策強化にもつながる」（グルーエン氏）

併せて読みたいお薦め記事

GDPRについてもっと詳しく

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

　　　　　　 1|2 次のページへ

TechTargetジャパントップ経営とIT