2018年に一般データ保護規則(GDPR)が施行された際、欧州連合(EU)の市民と取引を行う企業は、プライバシー要件に沿った変更を実施し、コンプライアンスを確保するために奔走しました。しかし、これは一度きりのタスクと見なすべきではありません。
個人を特定できる情報(PII)を収集・保管する企業や組織は、GDPRに準拠していることを確認するため、データ収集プロセスについて定期的な監査を実施する必要があります。
GDPRは、人々が自分のデータを管理できるようにすることだけを目的としているわけではありません。ここでいうデータの管理とは、どのデータが保持されているのか、どのようにアクセスできるのか、そしてどのようにシステムから削除できるのかといった点を指します。また、情報の分類、保管、セキュリティ、および個人による情報管理に関するプロトコルが確立されるため、そのデータを収集・保管する組織にとってもメリットがあります。
データ侵害が増加し続けていることを考えると、これはさらに重要です。Statistaによると、米国だけで2018年に4億7,100万件、2019年には1億6,468万件の記録が漏洩しています。
そのため、企業が個人データを確実に保護するために必要なあらゆる措置を講じることが、ますます重要になっています。さもなければ、高額の罰金だけでなく、企業の評判が損なわれるおそれもあります。GDPRのデータ保護原則に従うことで、データのセキュリティを確保することができます。
データ処理手順の定期的な監査には、技術的要素と人的要素の両方の調査が含まれます。技術的な障害、機器の物理的盗難、マルウェアやフィッシング、ランサムウェアなどの意図的なネットワーク攻撃、さらに従業員による意図的・非意図的な不適切行為によって、何百万件もの機密情報が漏洩する可能性があります。
すべてのプロセスとシステムを徹底的に評価することで、何らかのソリューションが顧客のコンテンツ、データポータビリティ、アクセス権、データ消去にどのような影響を与えるかを特定することができます。同時に、現在使用しているプラットフォームにより、GDPRの要件に準拠するため、ほぼゼロの復旧目標時間(RTO)と不変スナップショットの提供が可能になります。
見直すべきGDPRのポリシーとプロトコル
監査対象を決定する際の参考として、情報権保護のために設立された英国の独立機関である情報コミッショナーオフィス(ICO)は、以下の項目について見直しや必要に応じた更新を推奨しています。
データの保持、アクセス、削除に関するポリシー — 個人データがどのように収集・使用されるか、その使用範囲をどのように管理するか、データへのアクセスや削除をどのように要求するかを明確に説明している一般向けのポリシーです。
データの管理、分類、保管 — PIIデータの暗号化、3つの標準カテゴリへの分類、システム内でのデータ位置の特定、適切な検索方法の確立といった手順のほか、サイトやコンポーネント、ソフトウェアの障害、または外部攻撃に備えた、ローカルおよびグローバルでの冗長性確保の手順も含まれます。
障害復旧: データ侵害からの復旧に向けた包括的な計画であり、オンプレミスやクラウドに保存されているデータファイルをワンクリックで任意の時点に復元できる技術的手段、情報漏洩が疑われる場合の当局および本人への通知、さらにデータの変更や削除に関する個人からの要求への対応などが含まれます。
セキュリティ対策: デジタルおよび紙媒体の機密データに関するセキュリティプロトコルです。潜在的な脆弱性、データ侵害、不正アクセスの試みを特定するための積極的な監視が含まれます。
トレーニング: GDPR保護原則のあらゆる側面や、データ管理の社内ポリシーに関する従業員向けの研修を実施します。
定期的な監査のスケジュールを確立することで、企業は個人から預かった機密データを保護しつつ、GDPR規制を確実に遵守できます。
Rubrikで実現できること
Rubrikは、オンプレミスとクラウドの両方でデータ管理を提供する単一のプラットフォームにより、GDPRコンプライアンスを簡単かつ効率的に実現します。これにより、ユーザーはデータ保護ポリシーや有効期限の自動化を行うとともに、データの所在やインフラ全体でのポリシー遵守状況について、完全な透明性を確保できます。
RubrikがGDPRコンプライアンスおよびプライバシー要件の遵守にどのように役立つか詳細をご確認ください。