GDPR コンプライアンス：データ転送の落とし穴を回避

GDPR 施行から3年以上が経過しましたが、未だに多くの企業がコンプライアンス違反のトラブルに巻き込まれています。たとえまだ問題を起こしていない企業でも、思っている以上に脆弱かもしれません。データ保護と GDPR コンプライアンスについて見直すのに、このブログを参考にしてください。

GDPR は、データ保護とプライバシーの確保を要請する規則ですが、保護すべき個人データの多くは企業が取り扱うファイルに含まれています。ファイルは、顧客、パートナー、サードパーティーとの間で送受信される可能性がありますが、ファイルがセキュリティ保護、暗号化、追跡・監査機能なしで送信されれば、GDPR コンプライアンス違反になる可能性があります。

監督機関の姿勢はより厳しいものになっており、3年も経過すれば規則を遵守すべき企業はしっかり GDPR を理解し、遵守するための措置を講じているはずだという想定をしています。近頃では、GDPR 違反を調査する監査人から同情してもらうことは期待できません。交通違反の取り締まりのように、厳格に過酷な制裁金を課されるようになりました。

テクノロジーの最先端を行く大企業でも、データ侵害のために高額な出費を余儀なくされています。Google は GDPR 違反の制裁金として5,700万ドルを言い渡され、Yahoo は データ侵害の和解のために8,500万ドルを支払うことになりました。

そのほかの大企業のデータ侵害による損失も、次のように膨大です。

• Equifax: 5億7,500万ドル
• Home Depot: 2億ドル
• Uber: 1億4,800万ドル
• Capital One: 8,000万ドル
• Morgan Stanley: 6,000万ドル
• British Airways: 2,620万ドル
• Marriott International: 2,370万ドル

制裁金は、大企業に限らず、あらゆる規模の企業が対象になります。Osterman Research は、GDPR の動向と企業がどう対処すべきかを解説したホワイトペーパー、‘GDPR isn’t Getting any Easier: How to Master the Tough Parts’ を作成し、次のように説明しています。

「低レベルの侵害に対する罰金は、最高で1,000万ユーロ（1,210万ドル）または全世界での前会計年度収益の2パーセントのいずれか高い方になります。このレベルの侵害には、設計上およびデフォルトでのデータ保護策定の怠り（第25条）、処理アクティビティの適切な記録保持の不履行（第30条）、および処理における適切なセキュリティ確保の不備（第32条）が含まれます。」

設計上およびデフォルトでのデータ保護

設計上、およびデフォルトでデータを保護するということは、データが漏洩または侵害される可能性のあるすべての領域を見つけ、そのデータを保護するための措置を講じ、ファイル転送に含まれるすべてのデータがデフォルトで保護されるようにすることを意味します。ファイルを転送する場合、どのファイルに機密の個人データが含まれているかわからないので、すべての転送を安全な方法で実施する必要があります。

このデータ保護の義務について、Osterman のレポートは、次のように解説しています。「GDPR が規定するデータ保護は、”設計上およびデフォルトで” 行う必要があります（第25条）。この要件は、データ主体の権利と自由への損害を最小限に抑えるという最優先の原則に基づいており、強力な組織的、技術的対策の義務が含まれています。」

ビジネスへの影響

GDPR 規制に違反した場合、制裁金が課せられる以外にも、面倒な事態に巻き込まれる可能性があります。「GDPR の監督当局は、制限を課したり、特定のプロセスを停止したりする権限を持っています。修復プログラムを実装することができ、さらに頻繁な監査を要求することもあり得ます。」と、Osterman レポートは述べています。

プロセスの停止だけでも大きな打撃ですが、調査が入ること自体もビジネスの一部の遅延を招く可能性があります。Osterman レポートでは、次のように記述されています。「監督当局による調査は、組織全体に重大な混乱を引き起こし、より大きな経済的打撃を受けることにつながります。顧客、見込み客、利害関係者、および社員からの信頼も失なわれかねません。上場会社の場合は、株主の支持や株価にも影響を与える可能性があります。さらに、精査した監査人が別の問題を見つけて追加の調査と修正が必要になるといったリスクもあります。」

GDPR コンプライアンスとデータの安全性確保に不可欠な「安全なファイル転送」

データ侵害が発生すると、監督当局の調査が入り、多くの場合制裁金を課されることになります。それを避けるにはコンプライアンスを満たせる「安全なファイル転送」を心がけることが重要です。プログレスの MOVEit などのマネージド・ファイル・トランスファー・ソフトウェアを使用すると、機密性の高い個人データの安全なコラボレーションと自動ファイル転送を確立できます。ファイルを安全に転送でき、 GDPR、PCI、HIPAA への準拠を確実にするための暗号化とアクティビティ追跡も含まれています。

社外に送信されるすべてのファイルは、安全で追跡可能な方法で処理する必要がありますが、MOVEit を使用すれば、社員が外部に個人データを電子メールで送信したり、安全でないファイル共有サービスを使用したりする心配がなくなります。ユーザーエラーの可能性を削減し、すべてのファイル転送の詳細を追跡および報告できます。

ファイル転送アクティビティの記録保持

GDPR でファイル転送アクティビティの記録の保存を要請するのは、データ侵害またはセキュリティインシデントが発生した場合、IT 部門はフォレンジックを実行するためにログが必要であり、GDPR 監査人は何が起こったか、そして再発を防ぐのにどうするべきかを理解するために監査証跡を必要とするからです。

機密データはファイルに保持されるので、多くのコンプライアンス問題はファイル転送処理に関連して発生します。ファイル転送処理において GDPR コンプライアンス上問題があるとされた場合は、転送されたファイルの正確な数と転送先の記録が必要になります。より望ましいのは、ファイルを安全に転送することによって、GDPR 規制当局から問題ありと指摘されないようにすることです。それは、結局、ファイル侵害やデータ漏洩を防ぎます。

セキュリティ侵害が発見されるまでにかかる平均期間が約18か月なのはご存知ですか？何が起こったのかを理解し、またどうすれば再発しないようにできるのかを検討するためには、この期間の侵害に関連するアクティビティをすべてチェックする必要があります。どのファイルが関係していて、誰が、誰に、いつ、どのように送信されたかを把握することでセキュリティフォレンジックが実行でき、そのためには、ファイル転送アクティビティを追跡できる機能が重要です。

ファイル転送リスク対策としての MFT

外部とのコミュニケーションはどの企業にも必要であり、外部にファイルの形で重要な情報を送ることはよくあります。これらのファイルはサイバー犯罪者によって傍受される可能性があり、他の形式の不正アクセスや単純なエンドユーザーの単純なミスによって、権限がない人にもファイルが開示されてしまう可能性があります。外部へのファイル転送はリスクが高いので、規制コンプライアンスのためのファイル転送の安全性の要件も高く、その要件を満たすのが MFT ソリューションです。

MFT である MOVEit を導入すると、エンドユーザーは、機密データの含まれるファイルの送信に、安全でない方法に依存することなく、使いやすくて安全な方法を取ることができます。ファイル転送時に発生する情報漏洩対策としては、ファイル暗号化が重要になりますが、MOVEit は、FIPS 140-2 検証済みで AES-256 暗号化を備えています。