GDPR の解説 – Osterman Research の専門家による見解

3年前に発効した GDPR は、当時の状況では、何らかの形でヨーロッパとビジネスを行っている企業にのみ影響を及ぼしました。広範囲のビジネスが EU 居住者のデータを扱うものの、そうでない企業は GDPR の厳しいコンプライアンス要件について心配する必要はありませんでした。

しかし、現在では状況が変わってきて、GDPR は、ほぼすべての企業が考慮するべき要件になっています。カリフォルニア州消費者プライバシー法（California Consumer Privacy Act、CCPA）などの新しい規制コンプライアンスは、概ね GDPR を基準としており、GDPR コンプライアンスを満たすことがどの国においても最適な戦略と言えます。

その一方、3年経ってもなかなか GDPR コンプライアンスを満たせない企業も多く、早い段階から GDPR に対処してきた企業でも、ビジネスの手法が変化する中で、コンプライアンスルールに継続的に適応しなければならないことの難しさを感じています。

そして、GDPR や GDPR を基準にした規則に対するコンプライアンス調査は厳しくなっています。高額な制裁金規定にも変更はありません。

GDPR については、まだ誰もが明瞭に把握できているという状況とは言い難く、「GDPR isn’t Getting Any Easier – How to Master the Tough Parts（GDPR は緩和されることはありません - 厳しい部分をマスターする方法）」というガイドを書いた Osterman Research の専門家たちに解説を依頼しました。

コンプライアンスの鍵は、規則を理解して適応することです。

コンプライアンスを満たせないことは環境が安全でないことを意味するので、たとえ GDPR 規制の対象外であっても、GDPR コンプライアンスを目指してシステムを見直すことは有意義です。コンプライアンス違反に対する制裁金は、より頻繁に、そしてより高額を課されるようになってきています。制裁金は、最大で、全世界の年間売上高の 4%、または2,000万ユーロのどちらか高い方にまで及ぶ可能性があります。

また、GDPR 規則に違反してしまうと、徹底的な調査が入ることもあります。そうなればビジネスに支障が出るだけでなく、規制当局によって既存のプロセスが制限されたり、完全に停止させられたりすることさえあり得ます。

調査が入ること自体が大きな問題になり得ます。Osterman Research のレポートでは、以下のように指摘されています。「監督当局による調査は、組織全体に重大な混乱を引き起こし、より大きな経済的打撃を受けることにつながります。顧客、見込み客、利害関係者、および社員からの信頼も失なわれかねません。上場会社の場合は、株主の支持や株価にも影響を与える可能性があります。さらに、精査した監査人が別の問題を見つけて追加の調査と修正が必要になるといったリスクもあります。」

データガバナンスの重要性

コンプライアンスのためには、優れたデータガバナンスが必要になります。個人データに関連するすべての処理活動の記録を保持する必要があります。個人データは、移動中も保管中も暗号化する、収集や処理は絶対に必要な場合のみに限定するなど、扱いには十分な注意が必要です。データを表示する権限を持つユーザーにのみ送信し、安全で追跡可能な方法で送信する必要があります。

厳重なデータ保護の必要性

Osterman Research は、「データ保護は設計によるものであり、デフォルトである必要があります。この要件は、データ主体の権利と自由への損害を最小限に抑えるという最優先の原則に対応しており、堅牢な組織的および技術的対策の義務を含んでいます。」と論じています。

実際に、「情報セキュリティを確保するための不十分な技術的および組織的対策」に対して、Telecom GmbH や Marriott International などの企業に制裁金が課されています。

サイバーセキュリティは、広範かつ厳重でなければなりません。「すべてのエンドポイント、ゲートウェイ、Web アプリケーション、クラウドサービスには、不正アクセスを防止し、不正変更を阻止し、データの整合性を侵害しようとする悪意ある脅威からあらゆる種類の個人データを保護するための堅牢な保護手段が必要です。」と、Osterman Research は記述しています。「通常から逸脱した動きに対しては、アラートを生成して追跡調査する必要があり、リスクの高い状況では、個人データを保護する自動化されたアクションをトリガーする必要もあります。セキュリティツールは、エンドポイント、サーバー、その他のシステムを継続的に評価して、古くてパッチが適用されていないオペレーティングシステムやアプリケーションがないかどうか、新しい脅威の可能性がないかどうかを判断する必要があります。」

GDPR に関するレポート

Osterman Research の独占レポート、「GDPR isn’t Getting any Easier: How to Master the Tough Parts」は、（英語のレポートですが）こちらからアクセスできます。

GDPR コンプライアンスとデータの安全性に不可欠な安全なファイル転送

多くのデータ侵害は、組織内であっても、パートナーや権限を与えられた他の組織にであっても、ファイルが移動するときに発生します。データ侵害が発生すれば、GDPR の調査が入って、多くの場合、制裁金が科せられます。プログレスの MOVEit を使用すると、機密性の高い個人データの安全なコラボレーションと自動ファイル転送を確立できます。ファイルを安全に移動することが可能なだけでなく、GDPR、PCI、HIPAA へのコンプライアンスを確実にするための暗号化とアクティビティ追跡が含まれています。

MOVEit を導入することで、社員が他の社員や社外の関係者に個人データを電子メールで送信したり、安全でないファイル共有サービスを使用したりする状況を変えることができます。安全なファイル転送、マネージド・ファイル・トランスファー、によって、ユーザーエラーを排除し、すべてのファイル転送の詳細を追跡およびレポートすることが可能になります。

マネージド・ファイル・トランスファーの詳細については、https://www.progress.com/jp/moveit をご覧ください。