2017/05/17

GDPR の施行によってデータセキュリティ規制が新たな局面へ

システム 管理 MSSP admin
2017 年 5 月 17 日 Tracy Hillstrom 著

データ流出のリスクが高くなれば、それに対処するための個人情報保護やデータセキュリティに関する新たな法案が提出されるのは、当然のことと言えるでしょう。しかしながら、時代遅れになったデータセキュリティ規制(EU指令 95/46/EC)に代わる新たなデータセキュリティ要件の基準として EU で採択された一般データ保護規制(GDPR)は、我々にとって影響が極めて大きく、違反すると、高額の罰金が課される可能性があります。GDPR は、EU 市民の「個人データ」を収集するすべての組織に適用されるため、EU 以外の企業も、この新しい規制を十分に理解しておく必要があります。

すなわち、EU で制定されたにもかかわらず、南米に本社があり、ヨーロッパ市民にも品物を販売するオンラインストアを運営する、従業員が 5 人の企業であっても、この規制を遵守する必要があるのです。また、GDPR の「個人データ」の定義は、他の規制で我々が想定する個人情報または個人識別情報よりもはるかに広く、たとえば、GDPR では、DHCP と動的アドレスが使用されている場合も、IP アドレスは、個人情報と見なされます。

GDPR の迅速な採択を推進するため、コンプライアンス違反には多額の罰金が課せられる可能性があり、そのための執行機関も設立されました。この規制により、世界全体の売上の 4%、または 2,000 万ユーロのいずれか高い方を罰金として課される可能性があります。

この罰金額は、企業に GDPR の遵守を強制させるのに十分なほど高額ではありますが、一部の企業にとっては、この規制の発効日である 2018 年 5 月 25 日までに必要とされる大幅な変更を完了するのは、容易ではありません。それは、GDPR の適用範囲が広く、ポリシー、プロセス、テクノロジのさまざまな変更点を理解して実装するには、時間がかかるためです。たとえば、この規制には、次のような要件が含まれています。

  • データ流出を 72 時間以内に通知すること(流出したデータが暗号化されていない場合)
  • よりわかりやすい、新しい方法で通知すること
  • 保存されたすべての個人データのレポートを件名ごとに表示し、本人から要求された場合にすべてのデータを削除できるようにすること
  • EU から移転する場合を除き、個人データを EU 内に置いておくこと
  • 要請された場合は、データ保護責任者を任命し、データ保護影響評価を完了すること
  • データセキュリティテクノロジを実装することで、状況に応じたリスクの認識し、ほぼリアルタイムでリスクを防止、修正、緩和するアクションを実行し、セキュリティポリシーの有効性を評価するためのツールを提供すること

以上の要件からわかるように、この規制のコンプライアンスに今から取り組むようにしないと、発効日までに対策が完了せずに、ビジネスに支障をきたす恐れがあります。ウォッチガードは、GDPR リソースキットで、この規制への準備に役立つ重要な情報を提供しています。今すぐ https://www.watchguard.com/GDPR (英文)にアクセスして、このリソースキットをダウンロードし、ご活用ください。

90か国以上の病院などで猛威を振るうランサムウェア Wcry2.0 への 対応状況 について(2017/05/15)