施行迫るGDPR “72時間ルール”に企業が警戒すべき理由:データ分析や不正検知が必須に(2/3 ページ)
新たに制定されたEU一般データ保護規則(GDPR)は、個人データの侵害(漏えい)が見つかった企業に、72時間以内の通知を義務化する。違反者に対する罰金は高額だ。企業はGDPRの厳格な罰則を念頭に、コンプライアンス保持のコストを見直す必要がある。
GDPRは全世界でデータ保護強化の先駆けになるか
GDPRの保護対象は、EU居住者の個人データに限られる。ただし、同規則の施行により、仮にEU居住者のデータを扱っていなくても、データ漏えい被害を公表せざるを得なくなる企業は多いだろう。
カリフォルニア州マウンテンビューに本社を置く顧客IDおよびアクセス管理企業Gigyaで、マーケティング部門のシニアバイスプレジデントを務めるジェイソン・ローズ氏は、「大抵の企業は、最初にデータ漏えいに気付いた時点では、侵害されたデータがEU居住者のものかどうかを確認できない。企業は、顧客データの漏えいを全て通知し、コンプライアンス違反のリスクを減らす必要がある」と話す。
GDPRの施行は、企業がより迅速にデータ漏えいを公表するきっかけにもなると期待されている。
ペンシルバニア州ラドナーに拠点を構えるデジタルワークスペース企業RES Softwareでディレクターを務めるレーシー・グルーエン氏は、次のように語る。「2017年現在に至るまで、米国企業は身勝手にも、データ漏えいの事実を顧客などの利害関係者から一定期間隠すことが多かった。やむを得ない状況になってから公開する場合がほとんどだ。GDPRの施行は、データ漏えい通知を巡る企業と利害関係者との関係にパラダイムシフトを起こす。GDPRは、透明性が高い時代の到来を告げるものだ。米国企業は、重い罰金を回避するだけでなく、自社への信用を損なわないためにも、GDPRの72時間のデータ漏えい通知期間に適応することが不可欠になる」
GDPRは、データ漏えいの判明後72時間以内に、その事実を適切なデータ保護当局(DPA)に通知することを企業に義務付けている。ただし、データ漏えいが個人の権利と自由を脅かさないと証明できる場合は、義務を免除される。3日以内にデータ漏えいを通知できない企業は、その理由を説明しなくてはならない。
「多くの企業は、顧客に通知してパニックを引き起こす前に、データ漏えいの範囲や影響を把握することを望む。この点が課題になるだろう」と、デトロイトに本社を置くメインフレームソフトウェア企業Compuwareでメインフレームテクニカルディレクターを務めるエリザベス・マクスウェル氏は語る。GDPRの規則によれば、最初のデータ漏えい報告は該当するDPAに送る必要があり、個人データの提供主への通知は「やむを得ぬ理由がない限り最速で」行わなくてはならない。
「詳細の通知は後にするとしても、(GDPRが)データ漏えいの事実『そのもの』の迅速な通知を求めるのは正しい姿勢でしょう」とマクスウェル氏は話す。
GDPR準拠のメリットとは
データ漏えいが起きる前から企業がGDPRを順守するメリットの1つに、データ漏えいの検知業務と解析業務を改善できる点がある。
ニューヨークに拠点を置き、インサイダー取引防止ソリューションを扱うVaronis Systemsでテクニカルエバンジェリストを務めるブライアン・ベッチ氏は、「不正検知や分析の重要性を理解している企業は、データ漏えいの通知回数も少なくなる。企業が不正検知機能を導入するのは、データ漏えいを検出するためだ。今回のような規則は初めてのことなので、発見的コントロールの取り組みでは異常発生時の警告をこれまでに比べて大幅に早めることになるだろう」と語る。
データ漏えい通知の迅速化に消極的な企業について、同氏は、「実際のところ、米国がGDPRのデータ漏えい通知義務の対象になるかどうかは、米国にとって重要ではない。この種の法律は、米国もいずれ制定せざるを得ないためだ。企業は、現時点からGDPRを順守することも、今後制定される同様の法律に従うこともできる。多くの企業は、今すぐ準拠することを選ぶだろう。その方が企業にとっては楽だからだ」と話す。
Druvaのニールセン氏は、GDPRへの準拠が米国企業の間で広まるかどうかは、EUが同規則違反の最初のケースにどう対処するかに掛かっていると話す。
「GDPRは、72時間以内のデータ漏えい通知を義務付けている。同義務に違反した米国企業に最初の罰金が科されるまで、米国内では通知の速度が上がらない可能性がある。高額な罰金とその後の訴訟結果は、米国企業が現状のプロセスを改善するかどうかに直接影響を与える可能性が非常に高い。具体的に影響を受ける部分は、データ漏えい判明直後の行動マニュアルや、業務継続の仕方、データ漏えいの通知プロセスなどだ」(ニールセン氏)
Copyright © ITmedia, Inc. All Rights Reserved.