2018年5月25日適用開始!
GDPR(EU一般データ保護規則)対応
マクニカが提供する、GDPRを支援するソリューション
これまでのデータ保護法から適用対象が大きく変わり、EUに拠点を持たない日本企業も対象となる可能性があります。
(1)GDPRの概要
EU一般データ保護規則(GDPR)は欧州連合(EU)における新しい個人情報保護の枠組みであり、個人データの『処理』と『移転』に関するルールを定めた規則です。173項目の前文と99条にわたる規制事項がきめ細かく定められており、EU域内に子会社、支店、営業所を有している企業だけでなく、EU域内に商品やサービスを提供している企業は全て対象となります。また、規則に違反した企業は、『年間収益の4%または2,000万ユーロのいずれか高い方』という高額な制裁金または過料を科される恐れがあります。
定義と対象
定義 | 対象 | |
---|---|---|
個人データ | 識別され得る自然人に関するすべての情報 |
|
処理 | 個人データに対し行われるあらゆる作業 |
|
移転 | EEA※1域外の第三者に対して 個人データを閲覧可能に するためのあらゆる行為 |
|
※1:欧州経済領域、European Economic Areaの略称。
(2)マクニカが提供する、GDPR対応を支援するソリューション
Imperva社の「SecureSphere」及び「CounterBreach」を単体もしくは組み合わせて使用することで、下記GDPR要件への効果的な対策をご提供します。
- SecureSphereデータベース/ファイル・ファイアーウォール(アプライアンス製品):
ポリシーベースによる情報資産への検知/ブロックをタイムリーに実施し、情報資産を保護(GDPR第25,32,33,35,44条) - CounterBreach(SecureSphereオプションライセンス):
機械学習により、通常の振る舞いから逸脱した情報資産へのアクセスを検知することで、より強固な対策が可能(GDPR第32,33条)
【GDPR条項】
- 第25 条 設計および既定されたデータ保護
- 第32 条 データ処理のセキュリティ
- 第33 条 適正監督機関へのデータ侵害通知
- 第35 条 データ保護影響評価
- 第44 条 データ移転の一般原則
BroadcomのCASBソリューションは以下の機能でGDPR対策を支援します。
- 企業が利用している複数のクラウドサービスやシャドーIT・シャドーユーザを可視化
- データセキュリティやデータ保護の観点からクラウドサービスへどういったデータがやりとりされているかを可視化
- ユーザのアクティビティの見える化
- 企業毎のコンプライアンスを実現
GDPR要件を満たすため、オンプレミスおよびクラウドインフラの両方の環境において暗号化対策を導入する必要があります。
Thales社のHSM(ハードウェアセキュリティモジュール)を使うことにより、サーバ(ファイル、アプリケーション、データベース)、ストレージでの暗号化および更にセキュリティを強固にするため、暗号鍵の一括管理を実現することができます。
HSMはPKIにおいてもっとも重要な要素である秘密鍵を安全に保管し、秘密鍵のライフサイクル(鍵生成、保管、破棄)を通して、サーバ上に一切秘密鍵が出ることはありません。
自社ウェブサイトでGDPR対策を行う場合、どこにどういった自社サイトが存在しているのかといった全体像を把握することが必要です。
RiskIQでは、GDPRに関連する以下の対象ページを特定し、タグを付与します。
- PIIが収集されているページ
- ログインフォームのあるページ
- ファーストパーティのクッキー違反のページ
- セカンドパーティのクッキー違反のページ
また、四半期ごとにGDPRレポートを提供いたします。証明書に関するエラーが出てしまっているサイトや、個人情報を収集している自社サイトでHTTPを使用してしまっている割合などといった情報をまとめています。
Box is GDPR-Ready
- GDPRに準拠したPII(個人が特定可能な情報)の移転には、SCCまたはBCRの締結が必要
GDPR実施後にPIIをEU域外に移転させるためには、SCC(標準契約条項)またはBCR(拘束的企業準則)を当局と締結しておく必要があります。 - Boxは、契約が複雑なBCRを締結済み
Boxは、BCRデータ管理者ポリシーおよびデータ処理者ポリシーを2016年8月に締結済み。これにより、PIIをEU/EEA域内から米国に移転させることが可能。 - BCRは、各国当局に認識されたレギュレーション
BoxのBCRは、英国のICO、スペインおよびポーランドのDPA当局の承認を得ています。また、日本の個人情報保護委員会も、BCRの価値を認識しています。
GDPR準拠のモバイルデバイス管理システム
GDPRでは、企業は個人のデータの取り扱いに関し、適切な技術的、組織的な安全対策を実施しなければならない、ことや個人データの処理に関する記録を残すことも義務付けられています。
MobileIronは、企業利用のモバイルデバイスを管理する際、次のような点でGDPRに準拠しております。
- 個人へのデータのアクセスの最小化:
デバイス内に混在する「個人データ」と「企業データ」の領域を作り、双方が境界を跨いでアクセス出来ない環境を作ります - 端末を保護する:
データの暗号化の強制、データ漏洩保護の強制、企業データへのアクセス時にはセキュアな通信を強制などを行います - 管理者の作業を明確にする:
管理者がMobileIronを使って端末に行う操作をAudit Logで記録し、管理者がアクセス出来るプライバシーデータも明確にされております
Exabeamで簡単に迅速に状況把握、報告を
Exabeamは「情報漏えい事故発生時の72時間以内の監督当局への通知(第33条 )」を支援します。
Exabeamは独自特許技術と機械学習により、様々なログを人・機器に紐づけし、一人一人のユーザの行動を時系列にまとめ、わかりやすいGUIで表示します。そのため、情報漏洩を早期に検知できるだけではなく、情報漏えい事故が発生した際、専門知識が少ない方でも状況判断や、72時間以内の調査、報告までを容易かつ迅速に対応することが可能です。全てのログを紐づけるため、ITに明るくない人事部、監査部、法務部との情報連携も容易です。
また、Exabeamは表示する情報の匿名化を自由にカスタマイズできるため、従業員の個人情報の開示を最小限に抑えられます。
次世代SIEMプラットフォームExabeamはお客様のセキュリティ運用の効率化を実現します。