現在、多くの企業が既存のコンプライアンス(PCI DSSやHIPAAなど)を遵守するために、日々セキュリティ課題に取り組んでいます。しかし、非常に重要な、新しい規制の発行が目前に迫っています。
目次
2018年5月25日、EU一般データ保護規則(GDPR)が施行され、
私的なデータをどのように保護すべきかの規制を大幅に変えます。
GDPRはセキュリティ規則の中でも最も厳格で取得の難しい規則となります。
新しいコンプライアンスは、厳重な管理の提供と非常に高い罰金を科すことにより、
EUや米国の組織がデータを扱う際に影響を与えることなく、国民個人のデータ保護を実施する予定です。
EU市民の個人データを扱う組織にとっては、このセキュリティ規則が施行されることによる影響は計り知れません。
また、現代の複雑化した環境を受けて、GDPRはマルチクラウド環境で作業する組織も対象としており、特別な課題や対応が急がれます。
HyTrustは、GDPRの施行が迫ってきたことに備えて準備を進めてきました。
プライベートクラウドプラットフォームやパブリッククラウドプラットフォーム、アプリケーション、サービスなど、ありとあらゆる環境でのセキュリティ違反が発生するリスクを軽減するため、データ保護のベストプラクティスとソリューションによって、コンプライアンス対象の環境を変化させます。
また、企業がコンプライアンス要件を満たすために役立つソリューションについて、
厳しいセキュリティ制約の中でEU市民の個人データを管理することができます。
GDPRのセキュリティ目標を達成することは、間接的にすべてのデータをより安全に保つのに役立ちます。
コンプライアンスの遵守がより必要とされる厳しい世の中へ
もし、今GDPRが施行されており、EU市民の個人データを扱っている企業が
データの取り扱いに違反してしまった場合、グローバルで企業全体の売り上げの4%の罰金を支払う必要があります。
例えば、Facebookのような大企業を思い浮かべてみてください。
2015年の売り上げ高の125億ドルに基づいてm最大で5億ドルの罰金を支払う可能性があります。
様々な企業にGDPR準備について調査を実施した際、全体の42%が罰金の大きさが最大の関心ごとと答えています。
GDPRの下では、個人データの違反は、「送信、保存、処理された個人データの偶発的または意図的な破棄、紛失、変更、不正な開示、またはアクセスにつながるセキュリティ違反」と定義されています。
この定義は、金融機関で使用されている情報などの不正行為や個人データの盗難につながる可能性のある情報が公開された場合にのみトリガーされる米国の法律とは異なります。
このように広い範囲でのコンプライアンス変更によって、ビジネスに大きくかかわる分野があります。
GDPRの準備には、企業はデータの取り扱いに対してセキュリティを強化する必要があります。
HyTrustは特権ユーザでのアクセス、暗号化、キー管理、データジオフェンシングなど、
多くのクリティカルなベストプラクティスを提供しています。
GDPRの参入が、今日挑戦的なデータセキュリティに関するコンプライアンスに対して影響を与えることは否定できませんが、いざ施行当日を迎えるまでには、企業はセキュリティ計画や導入について動き出す必要があります。(マルチクラウド環境では、それ以上の時間が必要になってしまいます)
ただGDPRによって、企業が現在採用しているデータ取り扱いに関するルール以上に、
全体のプライバシーを強化し、データコンプライアンスをより確実にし、
セキュリティリスクを最小限に抑え、消費者の信頼を築き上げ、ブランドの地位を格上げすることにつながります。
GDPRのコンプライアンス規則
GDPRの規則は、法律、情報セキュリティ、マーケティング、調達、エンジニアリング、人事など、数多くの部門に影響を及ぼす非常に広範囲のプライバシー関連の要件が含まれています。
また、GDPRは、個人データの暗号化を含む「適切なリスク」と考えられる種類のセキュリティ対策方法について、具体的な提案を行っています。
どのようなソリューションが企業のGDPR適応を加速するのか?
GDPR適応の準備には、企業で現在使用されているデータセキュリティおよびコンプライアンスプログラムの大部分を再構成、強化する必要があります。
これらの多くはGDPRとその他のコンプライアンス規則を満たすために重複しています。
ただ、GDPRに適応するためには、新たに下記の要件に注意を払うことをオススメします。
- 「個人情報の偽名化と暗号化」を含めた手段によって、適切なデータセキュリティを確保するための技術的および組織的対策を実施する。
- データ処理のセキュリティを保証するための技術的および組織的措置の有効性を定期的にテスト、評価、評価するためのプロセスを整備する。
- セキュリティ違反によって、個人の権利と自由に対して高い危険をもたらす可能性が高い場合、そのような違反を対象者に対して「過度の遅延なく」伝える。
HyTrustのソリューションは、上記の要件をサポートする独自の資格を持っており、
下記図のようにGDPRフレームワークのデータセキュリティ要件にマップされます。
GDPR ソーステキスト | 要件概要 | HyTrust/顧客のオプション |
Article32 – Security of processing | 最先端技術に基づく適切なセキュリティレベル。 暗号化、セキュリティの有効性の定期的なテスト、機密性の確保、データの整合性の確保を含む |
データ保護のためにポリシーベースの暗号化を実装し、エビデンスとする。
個人データのコンプライアンスを提示します。 |
Article24 – Responsibility of the controller | コンプライアンスを確実に立証するための適切な技術的対策を実施するために、データコントローラーが必要です | オブジェクトレベルでのワークロード、管理アクティビティ、およびポリシー変更追跡するフォレンジックレベルのログを提供します。 |
Article25 – data protection by design and default | データコントローラーは、デフォルトでデータ保護を実装しなくてはいけません。収集されるデータ量、処理の範囲、データの保持とアクセス範囲を保護するために適切な技術を実装する必要があります。 | HyTrust BoundaryControlポリシーを使用すると、システムはデフォルトでデータのアクセス範囲や動作について準拠されるように設定されます。
更に暗号化によって、クラウドプロバイダ全体でこれを実施することができます。 |
お問合せはこちら↓
https://www.climb.co.jp/soft/hytrust/contact/
関連トピックス
- N2WS Cloud Protection Manager Webセミナのプレゼンテーションと録画 | AWSでもデータ保護・DR対策は必須! 手間なく、らくらく管理・復旧、コンプライアンス準拠
- Webセミナー録画とプレゼンテーション『高まるテレワーク需要をセキュアに実現!ホットなVDIソリューションをご紹介』:2020/3/10 開催
- HyTrust KeyControl 5.3 HSMとの連携強化
- Virtual Labの機能説明【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- VMware、パブリッククラウド、コンテナ間でハイブリッド・マルチクラウド・セキュリティとコンプライアンスを提供する唯一のソリューション:HyTrust CloudControl 6.0が正式リリース
- PCI-DSS 3.2におけるマルチファクタ&その他の変更点 [HyTrust]
- HyTrust によるGDPRサポート概要:HyTrust CloudSPF (Cloud Security Policy Framework)
- Veeam Backup for Microsoft Office 365 v5の新機能:Teamsの正式サポート
- SIEM統合とバックアップによるセキュリティの拡張へ
- CloudBerry Backup Ver 7.2でのImmutability(不変性)機能のサポート