EU一般データ保護規則(GDPR)の“忘れられる権利”は、コンプライアンスの重要な要素になりそうだ。企業はこの権利を尊重し、顧客から求められたら、証明可能な方法でデータを完全に削除する必要がある。
欧州連合(EU)の新しい「一般データ保護規則」(General Data Protection Regulation、以下GDPR)の下で、世界中の企業は、個人データの機密性を確保するだけでなく、個人に関連する任意のデータを、依頼に応じて“忘れる”ことを義務付けられる。GDPRに規定された“忘れられる権利”は、この新規則を順守するための重要な要素になる見通しだ。
GDPRは2018年5月25日に施行される。これに伴い、全てのEU所在者(EU市民だけではなく、全てのEU居住者)は企業に対し、自分の個人情報を企業データベースからタイムリーに削除することを要求でき、要求が拒否された場合は、その理由を知ることができる。
オンプレミスストレージベンダーのNexsanで技術エンゲージメント担当副社長を務めるゲーリー・ワトソン氏は、忘れられる権利に関するGDPRのルールの順守について、詳しく解説した。
「データを保持義務期間よりも長く保持すると、負債になってしまう。データは、義務付けられた期間だけ保持するようにし、それより1日でも長く保持してはならない。人々のデータを、持つ必要がある期間を超えて持ち続けると、通常、それは負債になる。理由はいくらでもある」とワトソン氏は語る。
「例えば、侵害を受けた場合、データを危険にさらしたことに対する補償金を支払う人数が増えてしまう。アクティブ顧客が5万人、休眠顧客が10万人いたら、何か問題が起こった場合、15万人よりも5万人に補償する方がずっと簡単だ」(ワトソン氏)
顧客データをオンデマンドで削除できることは、忘れられる権利に関するGDPRルールを守るための重要な要素だが、唯一の要素ではない。GDPRの主な目的は、個人を特定できる情報の機密性を確保することだ。その実現のためには、まず全ての準備を整える必要があると、ワトソン氏は説明する。
「GDPRは企業に対し、システムが常に利用可能および回復可能で、高い可用性と完全性を提供できるようにすることを求めている。企業は、『機密性、完全性、可用性、高速リストアに関する最先端の取り組み』を行うことが期待されている。GDPRの一環として、こうした全てに目を配っていると見なされるわけだ。これは独立した要件ではない」とワトソン氏は語る。
「プライバシーを保護することと、信頼性の高いシステム構築とは不可分だ。誰かにプライベートデータを求められたら、『申し訳ありません。システムが先週クラッシュし、データが失われました。おわび申し上げます』という回答では済まされない。彼らは企業に、データを忘れることを要求できるだけでなく、自分のデータを要求することもできるからだ。企業にとっては、要求されたときにデータを提供することが必須だ」(ワトソン氏)
EUが、忘れられる権利に関するGDPRルールをどの程度厳格に適用するかは不明だ。だが、罰金を避けるには、個人のデータを削除する場合、その人に関連するデータの全てのコピーを破棄する必要があると、ワトソン氏は語る。データはメインデータベースだけでなく、全てのバックアップからも一掃しなければならず、しかも完全に削除する必要があるという。「データを処分する際に確実に抹消するために、検討すべき技術ソリューションがある」(ワトソン氏)
「CISO(最高情報セキュリティ責任者)は、個人を特定できる情報が社内のどこで保存、処理されているかを把握する必要がある。データが『Microsoft PowerPoint』や『Microsoft Word』などにコピーされる場合は、それを把握するとともに、削除すべきときが来たら、どうすればそうしたデータが見つかるかを知っていなければならない」とワトソン氏は説明する。
「企業はこうしたデータの所在の把握および特定に腰を据えて取り組む必要がある。そして注意深く厳重にアーカイブを管理し、従業員が不適切なタイミングでバックアップコピーを処分しないよう対策を講じなければならない」(ワトソン氏)
モバイルアプリケーションに関連するデータの扱いも一筋縄ではいかない。「モバイルワーカーが作成、使用するデータの管理は大きな問題だ。例えば、保険会社の損害査定人は、損傷した家屋や車の写真を撮るが、それは個人情報だ」とワトソン氏は指摘する。
「彼らはスマートフォンで写真を撮ってノートPCに保存する。そのコピーが幾つ、どこにあるかは誰にも分からない。消費者から『私のファイルを削除してほしい』と言われたときに、そうしたデータをどうやって管理するか、また、そうしたデータに関して行った処理を、どうすれば証明できるかという問題がある」(ワトソン氏)
ワトソン氏によると、忘れられる権利に関するGDPRルールの順守においては、自動化も重要な役割を果たしそうだ。「この取り組みの多くは自動化する必要がある。人々がばらばらな方法でデータを調べていては、適切に対応できないからだ。人手に頼らずに、データを自動的に管理するよう設計されたシステムを利用する必要がある。人的なチェックはプライバシーの問題にもつながる」(ワトソン氏)
企業は、顧客からの「個人データを削除してほしい」というリクエストに加えて、「個人データを調べたい」というリクエストにも即座に対応できなければならないと、ワトソン氏は語る。「特定の人に関連する全データを迅速に調査し、特定した上で提供できなければならない。『私のファイルが欲しい』と言われた場合も、速やかにファイルを抽出し、提供できる必要がある。もちろん、誤ったファイルがたくさん混じっていたら、許されないだろう」(ワトソン氏)
Copyright © ITmedia, Inc. All Rights Reserved.
従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。
比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。
ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
