GDPRの準拠をA10がどう支援するか?
*本内容は、米国A10 Networksが発行したブログ記事の抄訳版です。原文はこちらよりご確認ください。
セキュリティ侵害による被害は、金銭面だけではなく、ブランドへの悪影響や顧客満足度の低下、システム停止によるビジネスへの影響など多岐にわたります。欧州連合(EU)の居住者とビジネスを行う企業は、今後GDPRによって、セキュリティ侵害による財政的な影響はさらに高くなります。このため、このような企業は、今からGDPRに対応する準備をする必要があります。
GDPRとは
GDPR(General Data Protection Regulation)は、企業に対する強制規則としてEUで導入され、2018年5月25日より施行されます。
違反が発覚した場合、企業は、最大2000万ユーロ(日本円換算で約26億円)、またはその企業の全世界における売上高の4%のいずれか高い方を制裁金として課せられます。
GDPRは、市民と住民の個人データをより厳しく管理させるために制定されたものであり、EU住民のデータを収集する「管理者(Controller)」と、管理者に代わってデータを処理する「処理者(Processor)」を統制するための厳格なデータ処理ルールを定めたものです。例えばクラウドプロバイダなどは、「処理者」にあたります。
GDPRはEU内でビジネスを行う企業にのみ適用されるものではなく、データの保存場所に関わらずEUの全市民のデータに適用されます。つまり、EUの市民が日本や米国内の会社に保存されているデータを持っていれば、GDPRが適用されます。
GDPRの規制下において、データ管理者は、情報漏洩を認識してから72時間以内にその内容を監督当局に報告しなければなりません。そこから、悪影響が判定された場合には、個人に通知しなければならず、データ処理者は、個人情報漏洩を認識した後、大きく遅滞することなく管理者に通知しなければなりません。
しかし匿名化されたデータが漏洩した場合、処理者も管理者もデータ主体(本人)に通知する必要はありません。処理者がデータ保護のために暗号化やその他の手段を実装している場合がこれにあたります。しかしこの規定では、データ漏洩を「個人情報の偶発的、または違法な破壊、紛失、改ざん、許可されていない開示、または、他の方法で処理された個人情報、送信されたものや保存されている個人情報へのアクセスにつながるセキュリティ侵害」と広く定義しています。
GDPRでは、消費者と個人の権限も強化されています。GDPR第17条は、「抹消権」について記述されています。これは、「忘れられる権利」として一般的に知られています。第17条では、データ管理者に対して、すべての個人情報を遅滞なく無償で削除するように要請する権限が個人に与えられています。これは、ファイル、レコード、バックアップ、アーカイブされたコピーなどのすべてのデータを意味しています。
このようにGDPRは企業に対して、セキュリティ侵害があった場合の速やかな報告や、データやネットワークを保護するための強力なセキュリティ対策の実施を促しています。同時にデータのプライバシーと消費者の保護を最優先にするようにセキュリティシステムを構成することが法的義務となっています。
GDPRに対応するための準備について
GDPRが施行された場合、企業はどのようにしてシステムと顧客のデータを保護すればよいのでしょうか。それは、ほとんどのセキュリティの推奨事項と同様、前もってしっかりとした対策計画を立てることです。
ガートナーは、GDPRの準備にあたり、データ保護に特化した2つの新しい役割をまず策定するのがよいとしています。
それはつまり、データ保護当局やデータ主体との連絡窓口として従事する者と、処理操作を行うデータ保護責任者を任命することです。これはコンプライアンス維持につながります。
そして、企業はすべての処理に関する説明責任を積極的に明確化し、EU内外のデータフローを調査し、セキュリティ侵害が発生した場合に個人と当局に通知することができるシステムを準備し、尚且つ個人情報を消去するよう求められた場合に確実に対応する必要があります。
また企業が最初からセキュリティ侵害を防止することができるシステムを備えていることも不可欠です。匿名化されたデータの侵害には通知は必要ありませんが、企業は機密データの秘匿性が保たれているかを確認するために暗号化ソリューションを検証する必要があります。
A10のソリューションがGDPR準拠をどう支援するか
A10の SSLインサイトのような専用の可視化ソリューションでは、暗号化されたデータを安全な平文ゾーンにおいて可視化と検査のために復号することができます。企業は暗号化され匿名化されるべき特定の種類のトラフィックを、ポリシーに従って復号しないようバイパスすることもできます。
これにより、企業はGDPRに準拠したまま可視化の利点を得ることができます。
企業は、ID情報を適切に管理することによって、データを盗もうとする攻撃者がネットワークに侵入しないようにすることもできます。マルチファクタ認証や、期限切れの従業員アカウントを迅速に無効化するなどの簡単な手順を導入することで、権限のある担当者にのみアクセスを許可することができるようになります。
企業は、アプリケーション毎の分析などが可能なA10のHarmony Controllerを利用することにより、セキュリティ上の異常を迅速かつ正確に検知できるようになります。リアルタイムでアプリケーションがどのように実行されているかを理解することで、セキュリティ侵害やデータ盗難の試みがあった場合に、組織に警告することができるようになります。
関連情報
SSL可視化とクラウドプロキシを1ボックスで提供するアプライアンスです。