マカフィーは2月28日、公式ブログで、今年5月に施行が迫っているGDPR施行に向けて、日本企業が準備すべき留意点とセキュリティ対策について解説した。

GDPR(EU一般データ保護規則)は、EU内のすべての個人データの「処理」と「移転」に関する法的要件を規定するもの。1995年から適用されていたEUデータ保護指令に代わり、2018年5月25日から施行される。EUの個人情報を扱うすべての企業が対象となり、日本企業も対象となる。

保護するべき「個人データ」とは?

GDPRにおける「個人データ」とは、個人を特定する氏名や住所に加え、個人を特定され得るすべての情報(IPアドレス、クレジットカード番号、従業員番号等)が対象となる。

EU域外の企業組織でも、EU域内の個人に対して商品やサービスを提供する場合は適用(域外適用)となるので注意が必要だという。例えば、EU在住の一般消費者よりオンラインショップなどを通じて注文を受けている国内企業も対象となる。

GDPR遵守に向けたプロセス

EU内で事業を行う(顧客または従業員のデータを収集、保存、使用する)組織はGDPR遵守に向けて、まずは、GDPRの理解を深める必要がある。続いて、企業が保有する個人データの棚卸しを行い、どこにどんなデータが保管され、誰がアクセスしているかといったことを把握する必要がある。

これらを実施した上で、すべてのデータに対してどのような保護を行うべきか検討し、対応策を具体的に検討していくことになる。

対応策を計画するにあたっては、組織内において個人情報の運用計画を立てるだけではなく、万一インシデントが発生した際の対処法も計画する必要がある。というのも、GDPRにおいて、企業は情報漏洩が発生してから、「72時間以内」に関係機関に報告することが義務づけられているからだ。

セキュリティから見たGDPR対策

GDPR対策を進める上で、ガバナンス、人、プロセス、技術において、能力強化が必要だという。この4点をセキュリティの観点から見たらどうなるか。

情報漏洩の要因として、社員の不注意による流出が考えられるが、個人データを適切に暗号化して管理することによって、リスクを回避できる可能性が高まる。また、PCやサーバに対するマルウェア対策は、不正アクセスによる情報流出防止に効果がある。

複数拠点がある場合、インシデント発生時に迅速に検知・情報の共有・連絡が必要となるが、リアルタイムにインシデントを検出してフォレンジックのためのセキュリティ情報とイベントを管理するシステム「SIEM」も有効な対策となるという。

加えて、企業で利用が進んでいるクラウドサービスについては、「いつ、誰が、どのファイルにアクセスし、どのクラウドサービスに個人情報をアップロードしたか」といったことを把握する必要がある。

このように、クラウド内のデータを制御することを可能にするソリューションとしては「CASB(Cloud Access Security Broker)」がある。CASBは、オンプレミスにおけるSIEM、DLP、暗号化対策のトータルソリューションとなる。

GDPR施行まで3カ月を切った今、自社におけるGDPRの対応状況を確認されてはいかがだろうか。