機能紹介
- 2018/03/06
もうすぐEUで施行されるGDPR、真っ先に手を付けるべき対策とは?
日本企業にとっても極めてインパクトが大きい「GDPR」
「GDPR」という用語を聞いたことがあるでしょうか? これは“General Data Protection Regulation”(一般データ保護規則)の略称で、EUにおける個人情報の扱いについて定めた法律です。「EU版個人情報保護法」とでもいえば分かりやすいでしょうか? EU域内に居住する個人に関する個人情報の処理や移動についてこと細かに規定しており、日本でもその厳しい要件や巨額の制裁金がしばしば話題になっています。
このGDPRが、いよいよ2018年5月から施行されます。GDPRの対象は「EU居住者の個人情報を扱う組織すべて」であり、たとえEU域外の企業であってもこの条件に合致する限り、GDPRの適用対象となります。つまり、主に日本で活動している日本企業であっても、EU域内の顧客を相手にビジネスを行い、EU居住者の個人情報を扱っている場合は、あまねくGDPRが適用されることになります。
ちなみにGDPRに違反した企業は、「全世界における年間売上高の4%」もしくは「2000万ユーロ」のいずれか高い方を制裁金として支払わなくてはなりません。大規模なグローバル企業はもちろん、EU域内の消費者を対象に小さなECサイトを営んでいるような中小企業であっても、もしEU居住者の個人情報を漏洩させ、然るべき対応を怠った場合には、上記の制裁金の支払いを要求される可能性があるのです。
GDPRにまつわるリスクを回避するには「ファイル暗号化」が有効
ではこうしたリスクを回避するには、具体的にどのような対策を打てばいいのでしょうか? EU圏内でビジネスを展開する日本企業の間では、GDPRにまつわるリスクは徐々に認知されてきたとはいえ、具体的に何から手を付けたらいいのか思いあぐねている企業が多いようです。GDPRが求める要件は幅広く、それらに対する具体的なアプローチにもさまざまなものが考えられますが、情報漏洩対策の観点から最も有効な対策だといわれているのが「データ暗号化」です。
個人情報漏洩対策でまず考えるべきは、「いかに漏洩させないか」ということです。そのためにはさまざまな対策が考えられますが、サイバー攻撃の手口が年々高度化・巧妙化の一途を辿る昨今、漏洩を100%完ぺきに防ぐ手段は残念ながら存在しません。従って、万が一個人情報を漏洩させてしまった後のことも、事前に考慮しておく必要があります。
その点、EU居住者の個人情報が含まれたファイルを暗号化しておき、あらかじめ決められた正規のユーザーのみが復号・参照できるよう設定しておけば、万が一クラッカーによる窃取を許したとしても、その中身が漏れることはありません。GDPR対策という意味では、最も包括的な対策だといえるでしょう。
またGDPRでは、普段から個人情報を暗号化して業務を運用していれば、万が一これらが漏洩しても本人への通知義務は免除されると言われています。もし万が一、大量の個人情報が漏洩してしまった場合、その旨を全員に通知するとなると膨大な手間が掛かりますし、そのことによって莫大な賠償コストや信用失墜のリスクを抱え込むことになります。こうした経営リスクを回避する意味でも、まずは個人情報の暗号化がGDPR対策の第一歩だといえそうです。
実践的な漏洩対策には「検知」と「対処」まで可能な「FinalCode」が有効
ただし、単にファイルを暗号化するだけでは十分な対策とはいえません。というのは、単純な暗号化は内部犯行に対して無力だからです。ファイル暗号化は、ファイルへのアクセス権を付与されていないユーザーによる情報の搾取は防ぐことができますが、正当なアクセス権を持つユーザーがファイルを復号し、社外に不正に持ち出してしまうケースを防ぐことはできません。
サイバー犯罪と聞くと「外部のクラッカーによる侵入」というイメージが強いかもしれませんが、実際には内部犯行が最も被害額が大きく、かつ解決までに時間がかかると言われています。この内部犯行から個人情報を守るためには、単なる暗号化だけに留まらない「プラスアルファ」の機能が必要です。
弊社が提供するファイル暗号化ソリューション「FinalCode」は、まさにこの点に優れていることから、多くのユーザー企業から高い評価をいただいています。ファイルの暗号化・復号に加えて、ファイルを社外に出した後もアクセスを監視・制御したり、ファイルを遠隔から削除することが可能になっているのです。
既に述べたように、セキュリティ対策は「予防」だけでは不十分で、予防線を突破された後の「検知」と迅速な「対処」が極めて重要です。その点「FinalCode」は、ファイルの暗号化という予防策だけでなく、そのファイルに対する不正アクセスを集中的に監視できる仕組み、すなわち「検知」と、ファイルのリモート削除という「対処」までもが1つの製品で可能になっています。
こうした機能はGDPR対策のためにはもちろんのこと、ありとあらゆる機密情報を漏洩から守るために極めて有効です。今回のGDPR対策を機会に、自社で管理するあらゆる個人情報や機密情報を一斉に棚卸しして、「FinalCode」による漏洩対策をまとめて適用してはいかがでしょうか。
<「FinalCode」製品担当:足立>