GDPRの保護対象は、EU居住者の個人データに限られる。ただし、同規則の施行により、仮にEU居住者のデータを扱っていなくても、データ漏えい被害を公表せざるを得なくなる企業は多いだろう。
カリフォルニア州マウンテンビューに本社を置く顧客IDおよびアクセス管理企業Gigyaで、マーケティング部門のシニアバイスプレジデントを務めるジェイソン・ローズ氏は、「大抵の企業は、最初にデータ漏えいに気付いた時点では、侵害されたデータがEU居住者のものかどうかを確認できない。企業は、顧客データの漏えいを全て通知し、コンプライアンス違反のリスクを減らす必要がある」と話す。
GDPRの施行は、企業がより迅速にデータ漏えいを公表するきっかけにもなると期待されている。
ペンシルバニア州ラドナーに拠点を構えるデジタルワークスペース企業RES Softwareでディレクターを務めるレーシー・グルーエン氏は、次のように語る。「2017年現在に至るまで、米国企業は身勝手にも、データ漏えいの事実を顧客などの利害関係者から一定期間隠すことが多かった。やむを得ない状況になってから公開する場合がほとんどだ。GDPRの施行は、データ漏えい通知を巡る企業と利害関係者との関係にパラダイムシフトを起こす。GDPRは、透明性が高い時代の到来を告げるものだ。米国企業は、重い罰金を回避するだけでなく、自社への信用を損なわないためにも、GDPRの72時間のデータ漏えい通知期間に適応することが不可欠になる」
GDPRは、データ漏えいの判明後72時間以内に、その事実を適切なデータ保護当局(DPA)に通知することを企業に義務付けている。ただし、データ漏えいが個人の権利と自由を脅かさないと証明できる場合は、義務を免除される。3日以内にデータ漏えいを通知できない企業は、その理由を説明しなくてはならない。
「多くの企業は、顧客に通知してパニックを引き起こす前に、データ漏えいの範囲や影響を把握することを望む。この点が課題になるだろう」と、デトロイトに本社を置くメインフレームソフトウェア企業Compuwareでメインフレームテクニカルディレクターを務めるエリザベス・マクスウェル氏は語る。GDPRの規則によれば、最初のデータ漏えい報告は該当するDPAに送る必要があり、個人データの提供主への通知は「やむを得ぬ理由がない限り最速で」行わなくてはならない。
「詳細の通知は後にするとしても、(GDPRが)データ漏えいの事実『そのもの』の迅速な通知を求めるのは正しい姿勢でしょう」とマクスウェル氏は話す。
データ漏えいが起きる前から企業がGDPRを順守するメリットの1つに、データ漏えいの検知業務と解析業務を改善できる点がある。
ニューヨークに拠点を置き、インサイダー取引防止ソリューションを扱うVaronis Systemsでテクニカルエバンジェリストを務めるブライアン・ベッチ氏は、「不正検知や分析の重要性を理解している企業は、データ漏えいの通知回数も少なくなる。企業が不正検知機能を導入するのは、データ漏えいを検出するためだ。今回のような規則は初めてのことなので、発見的コントロールの取り組みでは異常発生時の警告をこれまでに比べて大幅に早めることになるだろう」と語る。
データ漏えい通知の迅速化に消極的な企業について、同氏は、「実際のところ、米国がGDPRのデータ漏えい通知義務の対象になるかどうかは、米国にとって重要ではない。この種の法律は、米国もいずれ制定せざるを得ないためだ。企業は、現時点からGDPRを順守することも、今後制定される同様の法律に従うこともできる。多くの企業は、今すぐ準拠することを選ぶだろう。その方が企業にとっては楽だからだ」と話す。
Druvaのニールセン氏は、GDPRへの準拠が米国企業の間で広まるかどうかは、EUが同規則違反の最初のケースにどう対処するかに掛かっていると話す。
「GDPRは、72時間以内のデータ漏えい通知を義務付けている。同義務に違反した米国企業に最初の罰金が科されるまで、米国内では通知の速度が上がらない可能性がある。高額な罰金とその後の訴訟結果は、米国企業が現状のプロセスを改善するかどうかに直接影響を与える可能性が非常に高い。具体的に影響を受ける部分は、データ漏えい判明直後の行動マニュアルや、業務継続の仕方、データ漏えいの通知プロセスなどだ」(ニールセン氏)
Copyright © ITmedia, Inc. All Rights Reserved.
フリーアドレスを導入したものの、新たな課題が生じた企業が少なくない。そこで導入が増えているのが座席管理システムだが、どのような点を重視すればよいのか。ITレビューサイトで高い評価を受けたシステムから、選定のポイントを探る。
Lenovoでは、顧客デバイスのライフサイクル管理を支援するDevice as a Serviceを世界中に提供している。しかし、そのオペレーションは複雑であり、顧客エクスペリエンスを高めるために改善が必要だった。同社が採った改善策とは。
昨今の企業は、自然災害やサイバー攻撃といった外的要因はもちろん、労働争議や技術障害といった内的要因など、多くの脅威にさらされている。これらによる業務の中断を予防しつつ、万が一中断が発生しても迅速に対応する、注目の手法とは?
多くの企業はさまざまなデジタルツールを導入しているが、これらの取り組みは「部分最適化」であるため、全体での情報共有がなされていない。そこで本資料では、企業の全体最適を実現する次世代プラットフォームを紹介する。
システムや業務をつなぎ、標準化・自動化を促進する管理基盤の「ServiceNow」。これにより、セキュリティ対策や、大規模アジャイル開発といった業務も自動化&効率化することができる。そのメリットや、使いこなすためのコツを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
