GDPR施行から1年、リスクが高いデータ保護にどう取り組むべきか？

2018年5月は、データの保護法や利用が変革し、社会への影響が進化した重要な節目として、経済界や技術面で記憶に残ることは間違いないでしょう。なぜなら、5月25日にヨーロッパでGDPR(General Data Protection Regulation：EU一般データ保護規則)が施行され、地球規模で有効な法律が効果的に導入されたことになるからです。

GDPRの目的は、個人の権利を尊重しつつ、デジタル経済の持続的かつ持続可能な成長を実現するためのベストプラクティス フレームワークを提供することです。

GDPR施行から1年が経ち、データ管理に関して各国は新たな局面を迎えています。日本は今年1月、個人情報の保護レベルが欧州と同等と認められ、欧州委員会から「十分性認定」を受けました。ただし、「明確な同意」を得たうえで個人情報収集を行うという点や、十分性認定を受けていない第三国へのデータ再移転の際は従来通りの個別契約等が必要となる点など、依然として規制の現状を把握し、コンプライアンスの遵守に取り組み続けることが肝要です。

この1年ほどで、「GDPRの特効薬」とうたう新たなソリューションも多数登場しました。ところが、プラグインをインストールして「実行」を押すだけで、GDPRに関連するすべての規制要件を解決できるソリューションはいまだ存在しないというのが実情です。

どのような組織に所属していようとも、データは今、間違いなくあなたの世界の中心となっているでしょう。現在、データ漏洩やデータ損失の危険性はかつてないほど高いですが、規則を確実に遵守するには、知識が重要です。その知識とは、データや組織の人々、そしてデータと人が一緒になったときに生まれるリスクに関するものです。

データについて徹底的に把握する

データは複雑で、わかりづらく、厄介なものかもしれません。そして、GDPRの遵守に取り組むうえで、データが「阻害要因」にならないようにすることは、決して容易なことではありません。これに取り組むために、GDPRを自社で保有しているデータについて考える良い機会としてとらえてみてはいかがでしょうか。

データについて、知るべきことはたくさんあります。例えば、何をどのような理由で収集しているのか、そしてどこで、どのように管理しているのか。どこから収集したものかについて透明性があり、また社員は企業が収集したデータに対して説明責任があることを理解しているか。

企業が古いデータを新たな目的のために使用することは避けなければならず、また、自身しか守ることができないような、曖昧なデータ・プライバシーに関する方針しか持たないことは、今日のデータ保護時代では許されません。

組織内で保持されているデータは、アクセスできるすべての人が使用すること、時には変更することさえ可能であるという性質のために、しばしば乱雑に扱われるおそれがあります。個人データに関しては、多くの企業が、自分たちが所有しているかのように扱いますが、実際には企業は単に管理人であるにすぎません。

GDPRは、ノートパソコンや携帯電話などの個人用デバイスに保存されているものも含め、非常に多様な個人データを対象としています。ですが、多くの企業の認識が欠けているのは、これらのデバイスがもたらすセキュリティ上のリスクです。

データ センターに侵入する人はほとんどいませんが、毎日、無数のノートパソコンや携帯電話が盗まれています。犯罪者は、それらを潜在的に非常に機密性の高い、または、 ビジネス・クリティカルなデータにアクセスする目的で使用するおそれがあり、それによって組織が GDPR に違反するおそれがあります。

個人データ、その内容とリスクプロファイルを正確に示すデータ・マッピングにより、ITチームは漏洩の「前後」を把握することができ、さらに、データ損失が発生する可能性のある場所と潜在的な影響を予測することができます。

いかなる状況下であってもインシデントが発生する可能性はあるので、ITチームは最悪の事態に備え、また次に何か起きたときに対処できるように、あらゆる事例から学ぶ必要があります。

人に対してパッチは当てられない

企業の従業員の場合、経営幹部から、現場レベルの個人まで、すべての人がデータに責任があります。心にとどめておくべき重要な事実は、「人に対してパッチは当てられない」ということです。

従業員が情報ガバナンスに取り組んでいたとしても、手っ取り早い解決策はありません。すべての事業は従業員に依存していますが、それにもかかわらず、従業員は常に最大の弱点となる可能性があり、GDPR遵守に取り組む際は「教育」が考慮されるべき最も重要な要素なのです。従業員は組織において最も重要な資産であり、それを最大限に活用するには、適切なレベルのGDPRのトレーニングを実施すべきです。

正体不明の敵より正体がわかった敵のほうがよい

組織が所持するデータとそれに対する責任の所在を理解し、従業員が必要なレベルのトレーニングを受けていることを確認したら、次のステップは、組織が収集したデータがもたらす最大のリスクを特定することです。以下が、具体的なリスクとそれへの対策となります。

可視性の欠如

データがどこにあり、誰がそのデータにアクセスできるのかを把握することは、データが安全に保たれていることを確認するために非常に重要です。十分な可視性がなければ、ビジネスリーダーはこのデータを完全に保護していると確信することはできません。

電子メールおよびその他のメッセージング データ

これは、傍受される可能性のある電子メールでデータが共有されていることや、従業員が個人情報の漏洩や悪意のあるリンクの追跡を仕掛けることが可能なフィッシングメールの両方によるデータ損失の最大のリスクの1つです。

個人用バックアップ ドライブとUSB メモリ

これらの使用を許可している場合、それらが完全に暗号化されていることを確認します。それらが紛失または盗難に遭った場合、それらに保持されているデータにアクセスできなくなってしまいます。従業員がこれらのデバイスを使用する理由、またリスクを完全に回避するために他のもので代用できるかどうかについても、検討する価値があります。

クラウドの利用

個人データをクラウドに保存する場合は、個人情報の保護規制について知る必要があります。また、従うべき規制に影響を与える可能性があるため、クラウド事業者の所在地など、あまり明らかにされていない情報についても把握しておきましょう。

これらのリスクを認識して回避するための最善の方法を学ぶことは、組織がコンプライアンス規制に違反するのを防ぐために必要なステップです。

GDPRは人、プロセス、そして技術にとっての課題であり、これらの要素を念頭に置いて取り組む必要があります。もし、従業員が GDPR について、また自分たちの仕事においてデータ保護の原則をどのように守ればよいのかについて基本的な知識を持っていなければ、意図せず壊滅的なデータ漏洩を引き起こしてしまう可能性があるのです。

プロセスと技術が一定の水準に達していないのであれば、顧客のデータに関する要求に対応するのに苦労するかもしれず、さらなるコンプライアンスにまつわる頭痛の種を引き起こすでしょう。

データを巡るコンプライアンスはグローバルで流動的に進化し続けていますが、1つ確かなことがあります。それは、組織に必要な変更を加えて、今後起こりうる大きな問題から組織を守ることが重要だということです。