EU「一般データ保護規則」(GDPR)に盛り込まれた“忘れられる権利”をどう守る?「安いHDDで何でも保存」な時代は終わる

EU一般データ保護規則(GDPR)の“忘れられる権利”は、コンプライアンスの重要な要素になりそうだ。企業はこの権利を尊重し、顧客から求められたら、証明可能な方法でデータを完全に削除する必要がある。

2017年08月10日 05時00分 公開
[Peter LoshinTechTarget]

 欧州連合(EU)の新しい「一般データ保護規則」(General Data Protection Regulation、以下GDPR)の下で、世界中の企業は、個人データの機密性を確保するだけでなく、個人に関連する任意のデータを、依頼に応じて“忘れる”ことを義務付けられる。GDPRに規定された“忘れられる権利”は、この新規則を順守するための重要な要素になる見通しだ。

 GDPRは2018年5月25日に施行される。これに伴い、全てのEU所在者(EU市民だけではなく、全てのEU居住者)は企業に対し、自分の個人情報を企業データベースからタイムリーに削除することを要求でき、要求が拒否された場合は、その理由を知ることができる。

 オンプレミスストレージベンダーのNexsanで技術エンゲージメント担当副社長を務めるゲーリー・ワトソン氏は、忘れられる権利に関するGDPRのルールの順守について、詳しく解説した。

 「データを保持義務期間よりも長く保持すると、負債になってしまう。データは、義務付けられた期間だけ保持するようにし、それより1日でも長く保持してはならない。人々のデータを、持つ必要がある期間を超えて持ち続けると、通常、それは負債になる。理由はいくらでもある」とワトソン氏は語る。

 「例えば、侵害を受けた場合、データを危険にさらしたことに対する補償金を支払う人数が増えてしまう。アクティブ顧客が5万人、休眠顧客が10万人いたら、何か問題が起こった場合、15万人よりも5万人に補償する方がずっと簡単だ」(ワトソン氏)

 顧客データをオンデマンドで削除できることは、忘れられる権利に関するGDPRルールを守るための重要な要素だが、唯一の要素ではない。GDPRの主な目的は、個人を特定できる情報の機密性を確保することだ。その実現のためには、まず全ての準備を整える必要があると、ワトソン氏は説明する。

 「GDPRは企業に対し、システムが常に利用可能および回復可能で、高い可用性と完全性を提供できるようにすることを求めている。企業は、『機密性、完全性、可用性、高速リストアに関する最先端の取り組み』を行うことが期待されている。GDPRの一環として、こうした全てに目を配っていると見なされるわけだ。これは独立した要件ではない」とワトソン氏は語る。

 「プライバシーを保護することと、信頼性の高いシステム構築とは不可分だ。誰かにプライベートデータを求められたら、『申し訳ありません。システムが先週クラッシュし、データが失われました。おわび申し上げます』という回答では済まされない。彼らは企業に、データを忘れることを要求できるだけでなく、自分のデータを要求することもできるからだ。企業にとっては、要求されたときにデータを提供することが必須だ」(ワトソン氏)

CISOは何をすべきか

 EUが、忘れられる権利に関するGDPRルールをどの程度厳格に適用するかは不明だ。だが、罰金を避けるには、個人のデータを削除する場合、その人に関連するデータの全てのコピーを破棄する必要があると、ワトソン氏は語る。データはメインデータベースだけでなく、全てのバックアップからも一掃しなければならず、しかも完全に削除する必要があるという。「データを処分する際に確実に抹消するために、検討すべき技術ソリューションがある」(ワトソン氏)

 「CISO(最高情報セキュリティ責任者)は、個人を特定できる情報が社内のどこで保存、処理されているかを把握する必要がある。データが『Microsoft PowerPoint』や『Microsoft Word』などにコピーされる場合は、それを把握するとともに、削除すべきときが来たら、どうすればそうしたデータが見つかるかを知っていなければならない」とワトソン氏は説明する。

 「企業はこうしたデータの所在の把握および特定に腰を据えて取り組む必要がある。そして注意深く厳重にアーカイブを管理し、従業員が不適切なタイミングでバックアップコピーを処分しないよう対策を講じなければならない」(ワトソン氏)

 モバイルアプリケーションに関連するデータの扱いも一筋縄ではいかない。「モバイルワーカーが作成、使用するデータの管理は大きな問題だ。例えば、保険会社の損害査定人は、損傷した家屋や車の写真を撮るが、それは個人情報だ」とワトソン氏は指摘する。

 「彼らはスマートフォンで写真を撮ってノートPCに保存する。そのコピーが幾つ、どこにあるかは誰にも分からない。消費者から『私のファイルを削除してほしい』と言われたときに、そうしたデータをどうやって管理するか、また、そうしたデータに関して行った処理を、どうすれば証明できるかという問題がある」(ワトソン氏)

 ワトソン氏によると、忘れられる権利に関するGDPRルールの順守においては、自動化も重要な役割を果たしそうだ。「この取り組みの多くは自動化する必要がある。人々がばらばらな方法でデータを調べていては、適切に対応できないからだ。人手に頼らずに、データを自動的に管理するよう設計されたシステムを利用する必要がある。人的なチェックはプライバシーの問題にもつながる」(ワトソン氏)

 企業は、顧客からの「個人データを削除してほしい」というリクエストに加えて、「個人データを調べたい」というリクエストにも即座に対応できなければならないと、ワトソン氏は語る。「特定の人に関連する全データを迅速に調査し、特定した上で提供できなければならない。『私のファイルが欲しい』と言われた場合も、速やかにファイルを抽出し、提供できる必要がある。もちろん、誤ったファイルがたくさん混じっていたら、許されないだろう」(ワトソン氏)

バックアップやクラウドサービス利用の注意点

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を変革、人手に頼ったSOCモデルから脱却する方法とは?

従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。

技術文書・技術解説 株式会社インターネットイニシアティブ

“次世代SD-WAN”とは何なのか? 「SASE」との関係は

比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。

製品資料 ServiceNow Japan合同会社

脅威はランサムウェアだけではない、重大なセキュリティインシデントをどう防ぐ

ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

アイティメディアからのお知らせ

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/07/15 UPDATE

  1. 郢昜ク翫Ε郢ァ�ュ郢晢スウ郢ァ�ー陞滂スァ闔ィ螢ケ縲歎Mware邵コ�ョ髢シ�ス�シ�ア隲、�ァ邵コ遒∵ф陷サ蛹サツ€ツ€ESXi邵コ�ァ邵コ�ッ遯カ諛キ�ス邵コ�ョ關難スオ陞ウ�ウ陜」�ア陷サ蟯ゥツ€譏エ��
  2. 郢ァ�サ郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�ケ晢ソス�ス郢晢スォ遯カ諛会スケ�ア驕カ驫€ツ€譏エ窶イ騾墓コ假ス鍋クコ�ス鬨セ�ス�ェ�ャ邵イ蠕。�ス�ソ邵コ蛹サ�ス闖エ�ソ邵コ�ス竓�クコ�ゥ髢シ�ス�シ�ア邵コ�ス邵コ�」邵コ貅伉€�ス
  3. 郢ァ�「郢晏干ホ懃クコ�ィAPI邵コ�ョ闖ォ譎�スュ�キ邵コ蠕個€菫�AF邵コ�ス邵コ莉」ツ€髦ェ縲堤クコ�ッ陷奇スア鬮ッ�コ邵コ�ェ騾�ソス鄂ー邵コ�ィ遯カ諛茨スュ�」邵コ蜉ア�樒ェカ譎樔コ溯�包ス。驕イ�ス
  4. 遯カ諛岩�郢ァ蠕娯€イ陷奇スア鬮ッ�コ邵コ驫€ツ€譏エ縲堤クコ�ッ邵コ�ェ邵コ荳環€驛。aaS邵コ譏エ�ス郢ァ繧�ソス邵コ迹夲ソス陷サ�ス騾ァ�スツ€髦ェツ€ツ€鬩・鬘梧ェョCISO邵コ迹夲ス。譎�幻邵コ�ョ闕ウツ€陞「�ー
  5. 邵イ謔滂ス「�ス髦懆撕遏ゥ莠溯�包ス。邵イ髦ェ窶イ郢ァ繧�鴬鬮ッ蜊��邵コ�ェ騾�ソス鄂ー邵イツ€邵コ�ェ邵コ諛翫◇郢晢スュ郢晏現ホ帷ケァ�ケ郢晏現竊楢搏�コ邵コ�・邵コ�ス笳�汞�セ驕イ謔カ窶イ陟「�ス�ヲ竏壺�邵コ�ョ邵コ�ス
  6. 邵イ迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ披鴬邵イ蝣コ�サ�・陞滓じ�ス郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「陝�スセ驕イ謔カ�ス隴幢スャ陟冶侭竊鍋クコ繧�ス狗クコ�ョ邵コ蜈キ�シ�ス
  7. 邵イ菫Jndows Hello邵イ髦ェ竊鍋ケァ蛹サ�狗ェカ諛�筏郢昜サ」縺帷ケ晢スッ郢晢スシ郢昜ソ�€譏エ�ス郢ァ繧�鴬陝カ�ク髫エ蛛�スシ貅伉€ツ€邵コ譏エ�ス髫ア蟠趣スィ�シ隶匁コッ�ス邵コ�ィ邵コ�ッ
  8. VPN郢ァ蜻育粟邵コ蜷晉√邵コ�ォ驕擾ス・邵コ�」邵コ�ヲ邵コ鄙ォ窶ウ邵コ貅假シ樣ゥ包スク陞ウ螢ス蜃セ邵コ�ョ郢晄亢縺�ケ晢スウ郢晢ソス7鬩包スク
  9. 邵コ�ェ邵コ諛会スサ鄙ォ�ス闔ィ竏オ�・�ュ邵コ�ォ邵コ�ッ邵イ蠕後◇郢晢スュ郢晏現ホ帷ケァ�ケ郢晏現ツ€髦ェ窶イ陟「�ス�ヲ竏壺�邵コ�ョ邵コ荵敖€ツ€陜難スコ隴幢スャ邵コ荵晢ス芽�包スケ陟取��ァ�」髫ア�ャ
  10. 郢昜サ」縺帷ケ晢スッ郢晢スシ郢晏ウィ竊定耳�シ邵コ�ヲ邵コ�ス�狗クコ莉」竊占楜迚呻ソス隲、�ァ邵コ謔滂ス、�ァ鬩戊シ費シ橸ソス貅伉€ツ€邵イ蠕後Τ郢ァ�ケ郢ァ�ュ郢晢スシ邵イ髦ェツ€蠕後Τ郢ァ�ケ郢晁シ釆樒ケ晢スシ郢ァ�コ邵イ髦ェ竊堤クコ�ッ

EU「一般データ保護規則」(GDPR)に盛り込まれた“忘れられる権利”をどう守る?:「安いHDDで何でも保存」な時代は終わる - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...