IDCはそのレポート「The role of technology in your GDPR strategyGDPR戦略におけるテクノロジーの役割)」の中で、エンタープライズ情報管理(EIM)テクノロジーを、EU一般データ保護規則(GDPR)に準拠するための中核となるものと認識しています。GDPRは、新たなレベルのデータプライバシーおよびデータ保護を実現するために策定され、企業アプリケーションすべてにおけるセキュリティを重要視しています。3つのブログ記事からなるシリーズの1つ目では、EIMを展開する上でセキュリティの重要な役割に注目したいと思います。

今年、ITの世界の中でセキュリティが最重要で中核となる現象が見られています。Harvey Nash社とKPMG社が行った影響力の大きい2018年度グローバルCIO調査によると、IT担当のシニアエグゼクティブにとってセキュリティが最優先事項であることがわかりました。重要度では前年に比べて倍になっています。保護すべき重要なデジタル情報の量はますます増加し、企業は以前にもまして攻撃を受けやすくなっています。

KPMGの調査では、調査対象のCIOのうち86%が自社で整備しているセキュリティ対策に自信を持っていますが、2017年に起きた情報漏洩が過去最高を記録し、2018年もすでにその合計を超えそうという状況においてはこの自信を疑うべきでしょう。

規模と金額がますます大きくなる情報漏洩


特徴的なのは、情報漏洩の規模が拡大していると思われることです。大規模な情報漏洩の有名なものとしては、アンダーアーマー社®の事例があります。同社のMyFitnessPalアプリが侵害され、1億5千万件以上のアカウントの個人情報が外部に流出しました。アンダーアーマー社は、発生から4日以内に情報漏洩の対象者全員に通知しました。非常に素早い対応だと思われがちですが、GDPRでは、72時間以内に通知することが求められます。

アンダーアーマー社のような素早い対応でも、GDPRのもとでは2千万ユーロまたは売上高の4%という巨額の罰金に処せられる可能性があるのです(ただし同社が迅速に対応したためその可能性は低いと思われます)。実際に、情報漏洩のニュースを受けて同社の株はただちに4%近くも下落しました。

GDPRはセキュリティの重要度を高めています。つまり、誰の情報を保持しており、それはどのくらい機密なのか、どこに保管しているか、情報の利用者は誰か、アクセスできるのは誰かを認識しておく必要があります。特に、情報をどのように保護しているかが重要です。システムおよび機器の安全性を保証する方策を取り、この種のデータに影響を及ぼすセキュリティ侵害を特定してただちに報告できる態勢を整えていなければなりません。アンダーアーマー社の件は、これを誤ったときの危険性を示唆しています。財政的にも評判という面でも非常に大きな代償がかかります。

GDPRの要求をEIMが応える


GDPRでは、データプライバシーとデータ保護の状況を大きく変えるように作られた法令の一部としてはセキュリティについて明確に述べられていません。唯一32がセキュリティについて具体的に言及し、組織は、「伝送、保管、またはそれ以外の処理をされた個人データの、特に偶発的または違法な消去、喪失、改変、未承諾開示、またはアクセスからなる」とデータ処理に関係する「リスクに対するしかるべきセキュリティレベルを保証するために技術的かつ組織的な方策を適切に実施」しなければならないとしています。

この要件が企業規模のEIMプラットフォームにつきもののセキュリティ機能のように見えるとしたら、実際その通りだからです。GDPRを準拠するために求められるIDCテクノロジーには以下のものがあります。

  • データディスカバリー
  • データ分類
  • エンタープライズコンテンツ管理
  • レコード管理
  • 暗号化/仮名化
  • バックアップ/復元
  • アーカイブ/検索
  • リダクション


まるでEIM機能の目録のようですが、GDPRが企業の情報をより適切に扱うことに関することとほとんど同じと考えると納得がいきます。EIMソリューションは、組織内の構造化データと非構造化データをすべて特定し、その情報を1つのプラットフォームにまとめることができます。データは分類され、権限が設定されて、適格なユーザーのみがその情報にアクセスできるようにします。GDPRの要件であるデータ最小化に準拠するために、できるだけ速やかにデータが確実にアーカイブされるか削除されるようにします。

非常に重要なのは、OpenText™ EIMなどのEIMプラットフォームがセキュリティのレイヤを追加していることです。このレイヤは、データが企業とそのパートナーの間で日常的に共有される、コラボレイティブ(協働的)で緊密につながった現在社会では不可欠です。情報セキュリティとは、単に悪意ある行為者を締め出すことではなく、セキュリティ侵害が実際に起きたらただちにこれを発見して修復することでもあるのです。エンドポイントセキュリティインシデント対応フォレンジックデータ調査のような機能により、ハッキングが試みられた場合はすぐに発見し、調査し、情報漏洩のリスクを最小限に抑えることができます。

IDCテクノロジーリストに必要な領域


IDCのリストに付け加えたい領域が3つあります。1つ目はアイデンティティアクセス管理(Identity Access Management: IAM)です。最初の世代のIAMは、従業員のアクセス権限の割り当て関連が中心でした。今日においては、個人データは顧客、サプライヤー、その他の協力会社間で定期的に共有されます。派遣スタッフや契約社員も雇用されます。

これらの関係者すべての、時間とリソースが限定されたアクセス権限を綿密に管理する必要があります。すべてのアカウントは、不要になったらただちに無効にしなければなりません。いわゆる「幽霊ユーザーアカウント」はハッカーにとって格好のバックドアになるからです。最新のEIMでは、人やシステムのID管理のための洗練されたIAM機能が必要ですが、加えて特にモノに対する管理機能がますます求められています。スマートホームやウェアラブルデバイスがどれだけの個人データを収集しているか考えてみてください。

2つ目の領域はエンドポイントセキュリティです。スタッフが持ち込むノートパソコンや携帯電話などの多数のエンドポイントデバイスのうち1つまたは複数を通して、セキュリティの脅威が企業内に侵入する機会がますます増加しています。企業情報に対する安全策として、このようなエンドポイントをマルウェアや不正アクセスから保護しなければなりません。OpenText Security Suiteには、業界をリードするOpenText EnCase Endpoint Securityが含まれており、脅威の早期発見、アラート通知、フォレンジックレベルの対応を提供します。

GDPRを考慮してIDCリストに加えるべきもう1つの領域は、セキュリティ侵害への対処方法です。セキュリティ侵害の影響を受ける個人への通知についてGDPRは厳しいタイムラインを定めています。セキュリティ侵害を発見して72時間以内に報告できるような態勢ができているでしょうか。EIMセキュリティソリューションには、この対応を支援するソフトウェアがあります。また、セキュリティ侵害に対応して乗り切る方法についてのガイドも提供します。

CIOマインドの中でセキュリティが最重要でありGDPR準拠が不可欠であることを考えると、EIMソリューションに含まれるセキュリティ機能は、リスクを最小限に抑え、規制要件を守るのに必要なレベルのデータ保護を提供するのに最も適しています。

GDPRのセキュリティ要件に対応するためにEIMプラットフォームがどのように役立つかについてより詳しく知りたい方はぜひお問い合わせください。