個人データ保護規制の潮流にカナダも参入

EU の GDPR は厳格な個人データ保護法として有名ですが、ブラジルやオーストラリアなどの国も追随して類似の個人データ保護法を制定しています。アメリカ合衆国では、カリフォルニア州のカリフォルニア州消費者プライバシー法 (California Consumer Privacy Act、CCPA) など、連邦に先駆けていくつかの州が州レベルの独自の個人データ保護法を制定しています。

そして、それらの国や地域の中にカナダも参入しようとしています。カナダは、消費者プライバシー保護法 (Consumer Privacy Protection Act、CPPA) を起草しました。カナダの CPPA も GDPR に類似しており、厳格な個人データ保護法の動きは確実に強まっています。すでに、GDPR は欧州のものだからと対岸の火事のように見物していられる状況ではなく、GDPR コンプライアントを目指すことは、どこの国のビジネスにとっても重要になってきます。

CPPA の概要

CPPA は GDPR と類似したデータ保護法ですが、制裁金の上限が GDPR が年間収益の4%なのに対し CPPA では5%と、さらに厳しくなっています。そのほかの特徴としては次のような点が挙げられます。

• コンプライアンスとセキュリティポリシーの更新、プロシージャ作成、従業員のトレーニングなど、コンプライアンスを確保するためのプライバシー管理プログラムを実施することを義務付け
• 企業や個人は、CPPA に準拠していない企業に対して私的な措置を取ることが可能

GDPR 対応の要は機密ファイルを安全に保護すること

GDPR など、ほとんどのデータ保護規制は、データの保護とプライバシーの確保に重点を置いています。機密情報は数え切れないほど多くのファイルに含まれており、電子メールや暗号化を備えていないファイル共有サービスによって送信される可能性があります。そのような、安全性が確保されず、誰に送信され到着したかどうかを確認できない形でファイルが送信されると、コンプライアンス違反に問われる可能性があります。これは、いつ爆発するかもしれない爆弾をかかえているようなものだと言っても過言ではないでしょう。

デフォルトでは、社外に送信されるすべてのファイルは、安全で追跡可能な方法で処理する必要があります。

コンプライアンスにログ記録は必須

規制コンプライアンスを満たすための要件として、たいていの場合、主要な処理活動の記録を保存することが義務付けられています。違反またはセキュリティ問題が発生した場合、フォレンジックを実行するためにログと監査証跡を必要とするからです。

データ侵害は、機密情報が存在するファイルを転送する過程で起こりやすいので、少しでも何かおかしいと感じることがあれば、すぐに転送アクティビティを詳細に確認できるよう、転送されたファイル数や転送先を含めすべて正確にログ記録する必要があります。さらに重要なことは、適切なアプローチでファイルを確実に安全に転送できていれば、そもそもファイル侵害やデータ漏洩は起こらないはずであり、規制当局の介入も避けることができるということです。

個人データ保護のコンプライアンスを満たすための要件

GDPR に代表されるデータプライバシー規制は、GDPR で「正当で、規則に準じた、明確なプロセス」と規定されることを要求し、また、個人データが許可された送信者から許可された受信者にのみ渡されることを検証する否認防止を要求します。そのためには、ユーザーの資格情報、アクセス許可、および関連するすべての個人データを保護するための厳密なアクセスコントロールを備えた中央システムが必要です。「必要な最小限データ」の原則、データの収集とその処理は目的を達成するために必要な情報のみに限定するという制約にも従う必要があります。

データは保護されるだけでなく、その「正確性」も問われ、個人データが正確であることを確認するための合理的な措置を講ずる必要があります。ファイルであれば、ファイルが変更されていないのを証明するために、ファイルの整合性チェックを自動的に行うといった措置が考えられます。「完全性と機密性」の原則は、個人データが組織内外での処理、偶発的な損失、破壊、損害に対して安全であることを保証することを要求し、例えば転送中・保管中の暗号化などはそのための優れた手法です。

そして、要件には「説明責任」も含まれます。データ処理者は、規制を遵守していることを明確に示す必要があります。ファイル転送ログを自動的に収集、レポート、分析する仕組みが必要です。収集されたログは追跡して正確性の証明に使用することもできます。

MOVEit でコンプライアンスを満たすことが可能

電子メールや安全でないファイル共有サービスで個人データを送ることはデータ保護のコンプライアンスを満たしませんが、プログレスの MOVEit のような安全なマネージド・ファイル・トランスファー・ソリューションを使用すると、社員が社内外の誰かに個人データを電子メールで送信したり、安全でないファイル共有サービスを使用したりする心配がなくなります。すべてのファイル転送の詳細を追跡することが可能で、必要に応じて文書化することもできます。

安全だからと言っても、それが面倒で使いづらいものであれば、エンドユーザーは簡単で使いやすいものを使いたがるかもしれませんが、MOVEit はその使いやすさにも定評があります。また、ワークフローやファイル転送タスクの自動化によって、ヒューマンエラーを排除するとともに、データ共有・転送プロセスを効率化することができます。

MOVEit は、高度なセキュリティ機能と実証済みの暗号化方式 (FIPS 140-2 検証済み AES-256 暗号化) により、転送中と保存中の重要なデータをセキュリティで保護します。ユーザー認証、配信確認、否認防止、データ整合性チェック、既存のセキュリティシステムとの統合などの機能があり、ファイル転送アクティビティの詳細なログも提供するので、GDPR コンプライアンスを満たすことができます。詳細は、ホワイトペーパー「ファイル転送と GDPR」をご参照ください。

日本の場合は、まず、安全でないとして廃止された PPAP 方式にかわる最適なソリューションを適用することが重要になります。