EMC、GRC製品「RSA Archer」最新版にGDPR対応を追加

EMCジャパン RSA事業本部　事業推進部　ビジネスディベロップメントマネージャー上原聖氏

EMCジャパンは12月14日、GRC（ガバナンス・リスク・コンプライアンス）プラットフォーム「RSA Archer Suite」において、欧州連合(EU)の一般データ保護規則(GDPR)を含むコンプライアンスへの対応用ユースケースを加えた最新バージョン「RSA Archer Suite v6.3」を発表した。

RSA事業本部　事業推進部　ビジネスディベロップメントマネージャーの上原聖氏は、初めにGDPRについて説明した。

GDPRはEU内に居住する人のデータ保護、個人データをEU域外に持ち出す方法を統一・強化することを目的としている。その対象範囲は、欧州のすべての企業に加え、EU内の個人に対する商品・サービスの提供に関連して個人情報を統制または処理するすべての企業が含まれる。つまり、日本の企業でEU域にオフィスを構えていなくても、EU域に居住するユーザーに商品やサービスを提供していると、GDPRが適用される。

EUに限らず、世界各国において個人情報保護に関する法規制があるが、上原氏は各国の法規制のポイントを示し「GDPRが最も厳しい」と語った。

|I@002.jpg,世界各国における個人情報保護に関する法規制|

以下のように、GDPRの対象となる企業や団体はさまざまなことが求められる。

GDPRの対象の企業・団体がなすべき事項

これらの義務が果たされなかった場合は、制裁金が科される。義務違反の内容によって、制裁金は「企業の世界年間売上高の2%、1000万ユーロの高いほう」と「企業の世界年間売上高の4%、2000万ユーロの高いほう」の2つのパターンがある。

GDPRの制裁の概要

ちなみに、漏洩が発生した場合は、72時間以内に「漏洩の性質」「想定される結果」「解決のための施策」を72時間以内に監督機関に報告しなければならない。これを怠ると、制裁を受けることになる。

上原氏は「現状、国内で情報漏洩が発生した場合、情報を公開するまでに数カ月かかっている。その結果、2次災害が発生している。この背景には、調査に時間がかかること、調査から報告までのフローが整備されていないことがあるが、これが問題」と述べた。

さらに、海外の個人情報保護法の例として、シンガポールの「Personal Data Protection. Act 2012」(以下、PDPA)が紹介された。PDPAにおいては、1件でも個人情報を保有していれば規制の対象になる。また、違反した企業や団体に対しては、最大１00万シンガポールドルの罰金が科せられるうえ、個人に対しては罰金刑のほか最大で3年以下の禁固刑が科せられるという罰則があり、なかなか厳しい内容となっている。

こうした個人情報保護法を遵守するにあたって、「RSA Archer Suite」はどのように役立つのか。

「RSA Archer Suite」は「IT&セキュリティリスク管理」「全社リスク管理」「コンプライアンス」「サードパーティ(委託先)管理」「事業継続管理(BCP/IT-BCP)」「監査管理」「パブリックセクター」というソリューションから構成される。

「RSA Archer Suite」のソリューション

今回、「コンプライアンス」において、「RSA Archer Data Governance」と「RSA Archer Privacy Program Management」が追加された。

「RSA Archer Data Governance」は個人情報の処理における適切な統制の特定、管理、実装を支援するユースケース。処理行為の正確なインベントリを維持し、データ保存に関する要件管理を支援する。

Data Governanceユースケースのダッシュボード画面

「RSA Archer Privacy Program Management」はータとその保護に関する影響度評価を実施し、監督機関とのコミュニケーションやデータ侵害の通知の履歴管理を目的とするユースケース。プライバシープログラムを総合的に管理し、GDPR遵守の取り組みを実証する際に必要な中央リポジトリとして機能する。