ビジネスにおけるデータコンプライアンス

業種にかかわらず、企業では大量のデータを収集・保存しています。収集しているデータの種類や収集の対象者に応じて、数え切れないほどのポリシー、基準、ベストプラクティスがあります。それらは企業が機密データを確実に保護し、業種や所在地に対して適用されるあらゆる法令や基準を常に遵守することを目的としています。

データコンプライアンスとは?

では、そもそもデータコンプライアンスとは何でしょうか。簡単に言えば、データの収集、保管、使用、共有に関わる法令、規制、基準、ポリシーを遵守する義務全般を指す包括的な用語です。これらの法はデータセキュリティ、データ侵害、データ保護などに関連します。コンプライアンス基準を遵守できない場合のリスクとしては、罰金やペナルティを科されるおそれがあるほか、自社の評判を損なうことにもなりかねません。ここからは、データ保存に関する基本的なベストプラクティスを見ていきます。
 

データコンプライアンスのベストプラクティス

法律上の複雑な問題はさておき、あらゆる機密情報と個人データを安全に保護することがまず大切です。順を追って見ていきましょう。

ステップ1:データの棚卸しを実施して、収集しているデータの種類、保存場所、アクセス権を持つユーザー、使用状況について正確に理解します。

ステップ2:データの棚卸しによって把握したデータコンプライアンスに関連する潜在リスク、および保有データに適用される法や基準を特定します。

ステップ3:不正アクセス、不正使用、漏洩、改ざん、破壊などからデータを守るために、暗号化やアクセス制御、定期的なセキュリティ監査などの適切なセキュリティ対策を実施します。

ステップ4:インシデント対応およびデータ侵害通知計画を策定し実施します。

ステップ5:従業員に対して、データコンプライアンス指針全般に関する教育を実施する。

ステップ6:定期的にデータセキュリティとコンプライアンス手続きを監査し、法や基準の変更に合わせて更新を行います。

また、データ保護責任者(DPO)を設置することも有効です。DPOにデータコンプライアンスに関する方針や手続きを管理させ、自社が保有するデータに適用される可能性のあるすべての法律や基準の動向を常に把握させる役割を担わせます。 

ステップ2は簡単に見えるかもしれませんが、おそらくかなり大変な作業となります。さまざまな種類のデータに適用される、非常に数多くの法や基準があるからです。米国では、たとえば以下のようなものです。 

  • 医療保険の携行性と責任に関する法律(HIPAA):保護対象保健情報(PHI)のプライバシーおよびセキュリティに関する規制

  • 児童オンラインプライバシー保護法(COPPA):13歳未満の子どもの個人情報の収集に関する規制

  • 家族教育権とプライバシー法(FERPA):教育情報の収集および共有に関する規制

  • 公正信用報告法(FCRA):消費者の信用情報の収集、使用、共有に関する規制

  • グラムリーチブライリー法(GLBA):金融情報の収集、使用、共有に関する規制

  • カリフォルニア州消費者プライバシー法(CCPA):カリフォルニア州居住者の個人情報の収集、使用、共有に関する規制(事業所在地がカリフォルニア州内でない場合も適用)

  • EU一般データ保護規則(GDPR):欧州連合(EU)加盟国に住む市民から収集した個人情報の保護に関する規制(事業所在地がEU域内でない場合も適用) 

  • 連邦情報セキュリティマネジメント法(FISMA):政府機関情報とシステムのセキュリティに関する規制

データ関連法以外にも、多くの企業が準拠しなければならない業界基準が数多くあります。

SOC2/SOC3:サービス提供組織のシステムのセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する報告基準

ISO 27001:企業の機密情報を管理する情報セキュリティマネジメントに関する国際規格 

HITRUST CSF(Health Information Trust Allianceの共通セキュリティフレームワーク):米国保健福祉省が認定した、電子化された保護対象保健情報(PHI)に適用されるHIPAA規制に準拠するための認定フレームワーク 

NIST CSF(米国国立標準技術研究所のサイバーセキュリティフレームワーク):サイバーセキュリティリスク管理のガイドラインを提供する任意のフレームワーク

PCI-DSS:クレジットカード情報の受付、処理、保存、伝送を行うすべての企業を対象とした、データの安全性を確保するための基準 

もう、圧倒されてしまいそうですか。無理もありません。事業運営において収集し保存しているデータはおそらく、ここで紹介した1つあるいは複数の規制の対象になる可能性があります。では、次にすべきことは何でしょうか?

データコンプライアンスの遵守状況を確認するには

データコンプライアンスに関わるあらゆる法律に精通し、自社のデータに適用される基準に関する認定を受けた専門家に相談することが、最も確実な方法です。まずはステップ1から始めましょう。Rubrikは、データ監査のサポートを通じて、どのような機密データが自社システム内に存在するのか、どこに保存されているのか、誰がアクセスできるのかを明らかにし、コンプライアンスのリスクを軽減します。また、医療金融サービス業界をはじめ、さまざまな分野で豊富な実績を持つRubrikは、コンプライアンスの重要性について認識しリスクを軽減、データ保護やコンプライアンス対応においてお客様を一貫してサポートします。さらに、Rubrik Security Cloudは、「ゼロトラストデータセキュリティ」を採用し、データと企業を保護するとともに、最高レベルのデータコンプライアンスとセキュリティ維持を支援します。