お問い合わせ

EU コンプライアンス:一般データ保護規則 (GDPR)

EU フラグ バナー - GDPR コンプライアンス

進化する EU コンプライアンス

欧州委員会により提案された一般データ保護規則 (GDPR) は、欧州連合 (EU) 内の個人のデータ保護を強化・統一するとともに、EU 外への個人データの移動に対処します。

2015 年 12 月に GDPR の施行を確定するための合意が発表され、EU 議会の投票後に、GDPR のコンプライアンス期限が 2018 年 5 月に設定されました。GDPR の要件を満たすこと自体に加え、その際には多くの協力作業が必要となるため、組織にはコンプライアンスのための計画が不可欠です。  

GDPR の主な目的は、市民が自分の個人情報の管理を取り戻すことができるようにすることです。GDPR の施行は、それまでの EU および他のデータ保護規則との調和を図ります。

GDPR のセキュリティ テクノロジ コンプライアンス - GQM GRC ホワイトペーパー画像

データ コンプライアンス専門家が GDPR に起因するセキュリティ ニーズに対応

ホワイトペーパーを手に入れる

GDPR コンプライアンス要件

この EU コンプライアンス規則は、世界中の組織に大きな影響を与えます。 

セーフ ハーバー規則の崩壊により、欧州市民の個人情報を得て取り扱う米国企業も、新たな要求事項を遵守する必要があります。それを怠れば、同じ失敗を犯してしまいます。

組織が新しい EU コンプライアンス基準でデータ侵害を受けた場合、違反の重大性に応じて以下が適用されることがあります。

  • 組織は地域のデータ保護機関および侵害を受けた記録の所有者に通知する必要があります

  • 組織は世界での売上高の 4% または 2,000 万ユーロの罰金を科せられます

EU Starsただし、GDPR では適切なセキュリティ管理が組織内に展開されているかどうかに基づいて例外を提供しています。たとえば、データへのアクセスが許可されていない人物に対して、暗号化によってデータを理解できないようにしている組織は、侵害を受けても影響を受ける記録所有者に通知する必要はありません。 

組織が「侵害防止」を実施済みであることを示すことができれば、罰金刑の可能性も低くなります。

GDPR コンプライアンスの要件に対処するために、組織はオンプレミスとクラウド インフラ環境の両方で次のような異なる暗号化方法を採用する必要があります。

  • ファイル、アプリケーション、データベース、フル ディスク仮想マシンの暗号化を含むサーバ。

  • ネットワークに接続されたストレージとストレージ エリア ネットワークの暗号化を含むストレージ。

  • ディスク暗号化を介したメディア。

  • 高速ネットワーク暗号化を介したネットワーク。

さらに、暗号化されたデータを保護するだけでなく、ファイルの削除を確実に行い、ユーザの「忘れられる権利」を守るために、強力な暗号鍵管理が求められます。 

組織は、ユーザ ID とトランザクションの正当性を検証してコンプライアンスを証明する方法も必要となります。実証可能かつ監査可能なセキュリティ制御を施していることが重要です。

Gemalto は、機密データの永続的な保護と管理を提供するために連携する唯一の完全なデータ保護ポートフォリオを提供しています。また、これは GDPR フレームワークにマッピングすることができます。

組織を GDPR に準拠させることができる単一のソリューションはありません。規則はガバナンスから契約上の義務までを対象としているため非常に広範に及びます。しかし、Gemalto の SafeNet ポートフォリオのソリューションは、組織がデータ セキュリティ義務を遵守するのに役立ちます。

セキュリティ要件は、法律の本文全体に散在しています。また、以下のテーマに沿ってグループ化することができます。

GDPR は、組織が常にデータを制御し、権限のあるユーザが適切な場合にのみデータにアクセスして処理するようにすることを期待しています。制御要件は、第 5 条、第 25 条、第 32 条に規定されています。

GDPR によると組織は以下を行う必要があります。

  • 承認された目的のためにのみデータを処理する
  • データの正確性と整合性を保証する
  • 利用者の ID 漏洩を最小限に抑える
  • データ セキュリティ対策を実装する

暗号化は、ユーザまたはプロセスにより適切な暗号鍵が提示されない限り、データを読み取り不可能な状態に保ちます。GDPR に従い、このシンプルな制御方法では、許可された使用のみに関してデータ処理を制限したり、データ保有者がそのデータによって識別可能である時間を制限したりすることができます。暗号化は許可されていないデータ操作も防ぎます。承認済みユーザへのデータ アクセスを制限し、キーの使用状況を監視することで、承認なしでデータが変更される可能性を大幅に低減します。暗号化とアクセス制御を適切に使用している組織は、データの整合性を証明することができます。

多要素認証は、どのような状況においても防衛の第一線となります。強力な認証では、ネットワークやリソースにアクセスできるユーザを制御します。個人に認証情報を割り当てることにより、組織はリソースへのアクセスを追跡して内部リスクを監視することができます。多要素認証により、権限のないユーザは機密リソースにアクセスすることがより難しくなります。多要素認証は既知および未知の両方の脅威に対してデータ アクセスの障壁を高めるため、組織はデータをより簡単に制御できるようになります。

 
 

GDPR ではプライバシーのサービスに対するセキュリティ対策を取り扱っています。セキュリティ義務は、第 6 条、第 25 条、第 28 条、および第 32 条に規定されています。利用者のプライバシーを保護するために、組織は以下を実施する必要があります。

  • 設計およびデフォルトによるデータ保護
  • パートナーおよびサービス プロバイダとの契約上の要件としてのセキュリティ
  • 暗号化または偽名化
  • リスク アセスメントに対応するセキュリティ対策
  • 追加の処理のためにデータを保持する場合の保護

GDPR では、セキュリティ要件として特に暗号化を呼びかけています。さらに、組織はリスク アセスメントを実施し、リスクを軽減する措置を講じる必要があります。すべてのデータ リスクを特定できる組織や、完全に信頼できる境界セキュリティのアプローチは存在しません。そのため、組織はデータを暗号化して「侵害から保護する」必要があります。暗号化を使用すると、侵害があったとしても、データを保護することができます。

多要素認証は、データを処理するために使用されるネットワーク リソースへのアクセスを制御できます。権限のない処理からデータを保護するために、組織は最初のインスタンスが完了した後に、認証設定を割り当てたり変更したりすることで、追加の処理を制限することができます。また、組織のリスク アセスメントで特定されたリスクを緩和したり、サードパーティのパートナーと共有されているデータへのアクセスを保護したりすることもできます。

 

データが収集された後でも、個人はそのデータに対する主張および一定のコントールの権利を有します。「削除権(忘れられる権利)」は、第 17 条および第 28 条で規定されています。GDPR では、組織は以下の場合にすべてのリポジトリからデータを完全に削除する必要があります。

  • データ保有者が同意を取り消す(「忘れられる権利」)
  • パートナー組織がデータの削除を要求する
  • サービスや契約が終了する

個人がデータに関する同意を取り消した場合、組織は共有したデータを回収します。または、サービス期間の終わりに、組織は関連するデータを完全に削除する必要があります。これが難しい要求となるのは、単純にデータを削除してもディスクから完全に削除されないためです。組織はデータを暗号化してからキーを削除することでこれを完全に遵守することができます。このデータ削除方法により、データは完全に永久に読み取れなくなります。

 
 

組織は、プライバシーとセキュリティのリスクを評価し、その結果に照らしてプライバシーを安全に保つための適切な措置を取る必要があることを示す必要があります。これらの義務は、第 2 条、第 24 条、第 28 条に規定されています。リスクを軽減し、デュー デリジェンスを実行するためには、組織は以下を行う必要があります。

  • 完全なリスク アセスメントを実施する
  • コンプライアンスを遵守するための施策を実施する
  • 積極的にパートナーと顧客の遵守を支援する
  • 完全なデータ制御を行う

組織はパートナーまたはサードパーティのサービスと契約する際、データのセキュリティに対する責任を放棄しません。組織は、互いに安全かつリスクを軽減するために取り組むことを契約で義務付けられます。暗号化はセキュリティをデータに直接付加するので、データの安全性を保証し、組織の監視から外れても、組織を制御することができます。

 
 

セキュリティ侵害によりデータの権利とプライバシーが脅かされた場合、組織は顧客とその監督当局に通知する必要があります。侵害の通知義務は、第 33 条および第 34 条に規定されています。GDPR では、組織は次のことを義務付けられています。

  • 72 時間以内に監督当局に通知する
  • データ侵害の結果を記述する
  • 侵害をデータ所有者に直接伝える

侵害により保護されていないデータが漏洩した場合、組織は地域の監督当局および影響を受ける顧客に通知する必要があります。しかし、組織はデータを暗号化し、キー管理のベストプラクティスに従うことで、これらの通知義務を回避することができます。通知が必要となるのは、データ所有者の権利と自由が危険にさらされている場合のみです。

 
 

Gemalto の GDPR 電子ブックをダウンロードして、Gemalto が GDPR の重要事項の特定を支援する方法や、その要件に対応するために必要な手順をご覧ください。

一般データ保護規則 - GDPR の拡大電子ブック画像

一般データ保護規則

拡大電子ブックを手に入れる

EU 規則の詳細

GDPR、プライバシー、適切なセキュリティ管理の適用を始める - ウェビナー

GDPR、プライバシー、適切なセキュリティ管理の適用を始める - ウェビナー

このオンデマンド ウェブ セミナーで、(ISC²) および Gemalto と一緒に、新しい一般データ保護規則の必要な知識、背景、変化、罰則、セキュリティの意味などを学んでください。

オンデマンド ウェビナーを見る
EU フラグ サムネイル - GDPR コンプライアンスの実施要請

GDPR に備える

物理/仮想データセンターからクラウドまで、Gemalto は組織の保護、コンプライアンス、およびコントロールされた状態を維持します。Gemalto 暗号化および暗号キー管理製品により、組織はデータベース、アプリケーション、ストレージ システム、仮想化されたプラットフォーム、およびクラウド環境内の機密データを保護できます。

GDPR への対応についてお問い合わせください

お問い合わせ

 

セーフネットへご関心をお持ちいただき、有難う御座います。セーフネットへのお問い合わせにつきましては、当フォームに必要事項をご記入いただき、SUBMITボタンをクリックして頂きますようお願い申し上げます。弊社担当者よりご連絡させて頂きます。

 

お問い合わせフォーム

* メールアドレス:  
* 名:  
* 姓:  
* 企業名:  
* 電話番号:  
* 国:  
* State (US Only):  
* Province (Canada/Australia Only):  
* 市町村  
コメント:  
 


Submit(送信)ボタンをクリックすることにより、私はジェムアルトのプライバシーポリシーに記載されている通り、ジェムアルト及びその関連会社から情報を受け取ることに同意します。