> > 今すぐ始めたい EU 一般データ保護規則(GDPR)対策~制裁金を科されないために

RSSフィード

今すぐ始めたい EU 一般データ保護規則(GDPR)対策~制裁金を科されないために

628601806.jpg欧州連合(EU)が新たに制定した「一般データ保護規則」(GDPR: General Data Protection Regulation)の施行日が 2018 年 5 月 25 日と間近に迫っていますが、調査によれば、依然として多くの企業は準備が間に合っていません。施行日までに準拠態勢が整っていないと、企業は 1 回のデータ侵害または準拠違反問題につき、年間売上高の最大 4% または 2 千万ユーロ(約 27 億円)のいずれか高い方の金額を制裁金として科されることになります。

法規制の移り変わりに伴い、今やデジタルセキュリティは単なる IT の問題ではなく、事業の継続に関わる要件となっています。今すぐ積極的に準備を進めて準拠を目指し、制裁金を科されないようにしましょう。

EU 市民のプライバシー、データ、および権利の保護

GDPR の主目的は、EU 市民の個人情報を保護することです。また、同規則には次の事柄を全 EU 市民が理解するのを支援する意図があります。

  • 特定の情報を提供する必要がある理由は何か
  • 個人情報がどのように使われるのか
  • 機密情報に対するアクセスを有する人物はだれか
  • 各人が自身のデータをコントロールできること

これまでと最も大きく変わる点は、GDPR の地理的な適用範囲です。従来の一般データ保護規則(指令 95/46/EC)では EU 域内に存在する組織のみが適用対象でしたが、これが「EU 市民の個人データを処理するすべての企業」に拡大されます。すなわち、対象のデータを処理あるいは扱う企業がどこに存在しているかは無関係となります。

データ流出の代償

データの流出につながる侵入事案が発生すると、企業は自社の評判に取り返しのつかないダメージを被るだけでなく、流出インシデントに関する対応や是正、影響の評価、保険、法務費用、補償のすべてを含めた多額の出費を強いられます。

GDPR の適用開始後は、侵入を許した企業はさらに制裁金まで科されることになります。制裁金の額はいくつかの段階が定められており、侵害の種類や漏洩したデータの量と種類、それに通知、是正措置、対応によって決まります。前述のとおり、違反企業は最大で 2 千万ユーロ(約 27 億円)または年間売上高の 4% の高い方を制裁金として科されます。

データ流出の主要因

Verizon 社の『2016 年度データ漏洩/侵害調査報告書』によれば、侵入が起きる原因として多いのは次のとおりです。

  • 暗号化の欠如
  • 機密情報を取り扱う際のセキュリティ不足
  • パッチ未適用のシステムの存在、不十分なシステム分離
  • 同意および許可の管理不足で生じる情報アクセスの抜け穴
  • 強力なログイン資格情報の欠如
  • ネットワークにアクセスしているデバイスの識別不足

報告されたデータ漏洩案件のうち暗号化が施されていたのはわずか 4% のみでしたが、暗号化によってデータはサイバー犯罪者にとって役に立たないものとなります。クリティカルなシステムについては強力なログイン資格情報や PKI 証明書を利用したマルチファクター認証もセキュリティの向上と不正アクセスの予防、侵入が発生した場合のデータ流出の回避に効果があることが実証されています。

GDPR の順守に役立つ DigiCert 証明書

DigiCert のエンタープライズ向け証明書管理プラットフォーム CertCentral® は、お客様のデジタル証明書管理をシンプルにする一方で、個々の証明書がセキュリティ要件を満たしているのを確認します。具体的には、確実に最新アルゴリズムを使用し、古くて強度不足の脆弱な暗号の使用を排除して脆弱性を防ぎます。

DigiCert プラットフォームの利用でお客様は以下の発注や管理を行えます。

  • パブリックドメイン用のパブリック SSL 証明書
  • 内部のドメイン、システム、ホスト、およびエンドポイント用のプライベート SSL 証明書
  • 電子メールの署名、電子メールの暗号化、ユーザーの認証、機器の認証用のクライアント証明書

CertCentral は標準で DigiCert Certificate Inspector と連携します。エージェントは外部と内部のどちらでも利用可能で、自己署名証明書(例: Microsoft CA)を含む CA 証明書を発行する場合でも、すべての証明書のインベントリを作成します。エージェントはネットワークをスキャンし、証明書とエンドポイントの構成に関係する脆弱性を検知します。

DigiCert の RESTful API を使えば、各種プロセスの完全な統合、プロビジョニングや管理の自動化、お客様のニーズに合わせたソリューションのカスタマイズが可能となります。
他の CA とは異なり、弊社は単なる証明書の発行所ではありません。弊社はお客様のセキュリティパートナーであり、お客様自身のデータだけでなく、お客様の顧客のデータ保護をお手伝いします。
今すぐ行動を起こし、GDPR 施行日までの準拠を実現すれば高額な制裁金を科されずに済みます。企業にとって最も貴重な資産であるお客様と、お客様のデータを保護しましょう。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Prepare Now for General Data Protection Regulation or Be Ready to Pay Fines - [2017 年 9 月 18 日投稿]