GDPRではデータ漏えい通知に関する新たな規則が発効する。企業はこれまでよりも迅速に行動を起こす必要がある。何が変わり、どのように対処すればよいかについて、Mimecastのマーク・フランス氏に話を聞いた。
欧州連合(EU)の新しい一般データ保護規則(GDPR)は2018年5月25日に施行開始となる。「EUデータ主体」に関するデータを集める全ての企業は、そのデータが侵害されたら72時間以内にデータ漏えいを報告する義務が生じる。ここでいうEUデータ主体とは、EU加盟28カ国の国民と居住者を指す。
漏えいの通知に関する手順を既に有する企業であっても注意が必要だ。GDPRのデータ漏えい通知に関する新しい規則では、そのプロセスが早まる。監督機関への通知は、これまでよりもはるかに迅速に行うことが求めらる。侵害されたデータに関係するユーザーへの通知も必要になる。
マーク・フランス氏は、クラウドメールセキュリティ企業のMimecastで、シニアバイスプレジデント、CTOおよびGDPRコンプライアンス部門のデータ保護担当者を兼任する。本稿では、データ侵害を受けた可能性があるユーザーとEUの監督機関に漏えいの可能性を通知するタイムラインが、新しいGDPRデータ漏えい通知規則を受けてどのように変化するかについて、同氏に話を聞いた。
フランス氏に問い掛けたのは、GDPRデータ漏えい通知規則によって、漏えい通知全般の見通しがどのように変わるかと、そのためにどのような準備を行えるかだ。以下に同氏の答えを紹介する。
マーク・フランス氏 米国48州には、それぞれデータ漏えいの通知に関する一式の法律があり、その通知に必要なタイムラインも異なる。タイムラインの重要な指針やトリガーになるのは、漏えいの発生を実際に把握した時点だ。
漏えいが明らかになる流れを考えてみよう。漏えいという事象が発生する。一部のデータが外部で取得される。社内のセキュリティチームが調査を開始する。大量の情報を選別する。場合によっては、MandiantやCrowdStrikeに調査を依頼する。大量のレビューを行う。そして「やっぱり、データは漏えいしている」とつぶやく瞬間が訪れる。
そして、この時点から時計が回り始める。この流れは1日で終わる場合もあれば、調査に2週間かかる場合もある。だが、漏えいが実際に起こったとある程度確信するのが一般的だ。そしてその時点から通知義務が始まる。影響を受ける個人がいると考えられる全ての州で漏えい通知プロセスを開始する。
GDPRのデータ漏えい通知の課題は、通知義務がもっと早くから始まることだ。実際には、漏えいの発生を確認した時点ではなく、漏えいが発生したかもしれないと考えた時点で即座に監督機関に通知することを求めている。
セキュリティ制御センターに情報が入り、企業のデータベースからデータ漏えいが発生した可能性がある事象が確認される。この事象を確認した時点で時計が回り始める。実際に漏えいを確認した時点ではない。72時間という期間は、最初の例で示した2週間後ではなく、流れの初日に始まる。
そのためタイミングの問題が生じる。多くの関係者は、こうした通知を期間内のかなり早い時点で行うように強いられることになる。1つ微妙な違いがある。GDPRの場合、期間内に求められるのは監督機関への通知だ。つまり、データ主体への実際の通知ではなく、EUの情報委員への通知が求められている。
漏えいに関する米国の法令の場合、監督機関に通知する時点で、影響を受けるデータ主体に通知する措置を既に講じ始めていると見なされる。それは、漏えいについて確認済みであるためだ。なお、米国の監督機関はマサチューセッツ州コモンウェルスの司法長官になる。GDPRの場合、72時間の開始時点では漏えいを確認していない可能性があり、影響するデータ主体を確認できているとは限らない。
求められるのは、72時間以内に監督機関に知らせることだ。監督機関への通知は非常に早まるが、データ主体への通知は環境内で実際に漏えいが起こったことを確認した時点でよいと考えられる。監督機関への通知は非常に早められる。だが、データ主体への通知は必ずしも早める必要はないだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
CISO、SecOpsリーダー、セキュリティアーキテクト、セキュリティアナリストなど、組織のセキュリティを担う担当者は、役割ごとに異なる課題を抱えている。それぞれの課題を整理し、解決につながる製品を選ぶ際のポイントを紹介する。
ITインフラが複雑化し、ポイント製品の組み合わせでは完全な保護が難しくなっている今、注目されているのがXDR(Extended Detection and Response)だ。その特長から選定のポイント、ユースケースまで、分かりやすく解説する。
ランサムウェア対策が不可欠な取り組みとなる中、サイバーレジリエンスを強化する手段として、「セーフガードコピー」を実装した製品が注目されている。本動画では、その機能や特徴を約3分で簡潔に紹介する。
サイバー攻撃の巧妙化が進み、攻撃対象はOS・アプリケーション層だけでなくハードウェアの土台である「ファームウェア」にまで拡大している。従来の対策では検知が難しい「見えない攻撃」に対抗するには、どのような方法を取ればよいのか。
ブラウザ上での業務が増加する一方、そのブラウザがサイバー攻撃の格好の標的となっている。そこで注目したいのが、SASEフレームワークにネイティブに統合されたセキュアブラウザだ。同ブラウザの特長や機能について詳しく解説する。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...