セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > GDPRへのコンプライアンス準備に遅れ - セキュリティ対策が急務

GDPRへのコンプライアンス準備に遅れ - セキュリティ対策が急務
Phil Muncaster

2017年08月22日

今年の5月25日、ヨーロッパ最大のデータ保護法令である一般データ保護規制(GDPR)の施行まで、1年に迫りました。イギリスのプライバシー保護当局であるICO(Information Commissioner’s Office)や欧州委員会をはじめとするステークホルダの働きかけをよそに、多くの企業で対応の遅れが見られます。新たな情報公開(FOI)要求の結果、イギリスでは82%の地方自治体が対応に伴う予算を確保できていないことが明らかになりました。


罰金や企業に対するマイナスイメージを回避するには、今すぐ対応プランを作成し、サイバーセキュリティ戦略を確立する必要があります。

対応の遅れ

FOI要求では、この3月にICOが行った調査と同様の結果が得られています。GDPRでは、データ保護オフィサー(DPO)の雇用が主な要件の1つであり、この条件を満たさない企業には年間売上高の2%または1万ユーロ(890万ポンド)の罰金が科せられます。ところが、イギリスの自治体の4分の1がまだDPOを雇用していません。また、自治体の3分の1(34%)はPIA(プライバシー影響調査)を実施しておらず、18%は従業員を対象にしたデータ保護ベストプラクティスのトレーニングを行っていません。

GDPRへの対応が遅れているのは、政府機関だけではありません。プロフェッショナルITのネットワークであるSpiceworksが、ヨーロッパにおいて770人を超えるITプロフェッショナルを対象にした調査を実施しました。イギリスでは、GDPR準拠に着手している企業はわずか40%です。他のEU各国は28%、米国が5%であることを考えると、イギリスの企業による対応は全般的に進んでいるとは言え、低い水準にとどまっています。さらに、GDPRがビジネスに与える影響を把握している企業は、イギリスで半分以下(43%)、その他のEU各国では36%です。

今すぐ準備を

GDPRはどのような影響を与えるのでしょうか。GDPRの適用範囲は非常に広範まで拡張されており、EUの企業や市民のデータ処理が対象になります。GDPRには、ヨーロッパのデータ保護指令をデジタル時代に合った内容に変更するという目的があります。新たな方法でコンシューマのプライバシーを保護するために、企業にとっては面倒な義務がいくつか盛り込まれています。

データ保護という点で、DPOの雇用の他にも重要なポイントが2つあります。

  • ・ータ流出が発生した企業は、72時間以内に関係当局に通知する
  • ・重大な違反については、年間売上の4%または2,000万ユーロ(1,770万ポンド)の罰金を科す

GDPRは、「目的に合ったサイバーセキュリティ対策」を促す注意喚起であることは明らかです。というのは、データ流出が及ぼす被害額の急増を背景に、GDPRには企業がデータ流出を隠蔽できない環境作りという目的もあるからです。

つまりGDPRとは、業界ベストプラクティスに沿ったサイバーセキュリティ対策を義務付ける規制なのです。情報公開を義務付けることによって、データ流出の回避だけでなく、万全の体制での顧客データ保護を徹底させる目的があります。

準拠の手順

コンプライアンスオフィサーとITセキュリティ責任者はGDPR準拠の準備を進めていますが、そこで課題となっているのが、準拠に必要なツールやテクノロジがGDPRの規定で明示されていないという点です。これには、GDPRを将来的な要件も網羅した法規制にしようという当局の思惑もあるでしょう。GDPRでは、「適切な技術的/組織的手段によって、個人データのセキュリティ保護を適切に行う」ために、「適切なコストで最先端テクノロジを導入」するという内容が規定されています。

では、「適切に」は何を意味するのでしょうか。具体的な要件を検討する際には、ISO 27001の規定やCyber Essentials Schemeのような業界ベストプラクティスが参考になります。また、NCSC(National Cyber Security Centre)が公開しているサイバーセキュリティの10ステップガイドも参考になるでしょう。

GDPRコンプライアンス戦略の策定では、次の内容を検討してください。

  • ・包括的な流出/インシデント対応計画を策定し、完全にテストする

  • ・厳格なアクセス制御を実施し、多要素認証や「最小特権」アクセスポリシーを適用する

  • ・全システムの継続モニタリングにより、異常を検知する

  • ・すべてのシステムとソフトウェアにパッチを適用し、最新の状態にする

  • ・セキュアな方法で定期的にデータをバックアップする

  • ・インフラ階層をすべて保護(次世代ネットワークファイアウォール、物理/クラウドサーバ、メールおよびWebゲートウェイ)

  • ・機密性の高い顧客データを強力な方法で暗号化する

  • ・包括的なエンドユーザ教育(フィッシング攻撃の見分け方など)を実施する


フィル・マンキャスター(Phil Muncaster)氏は、Computing、The Register、V3、MIT Technology Reviewをはじめとする著名なニュースサイトにおいて、テクノロジ分野のライター/エディタとして12年を超える実績を積んでいます。香港で2年以上過ごしたフィルは、アジアのテクノロジ業界に精通しています。現在はロンドンを拠点に、情報セキュリティを中心に活動を続けています。

ツイッターはこちら、LinkedInはこちらです。


*本内容はBarracuda Product Blog 2017年 7月24日 With Organizations Falling Behind on GDPR Compliance, Security Must be a Priority を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT