EU一般データ保護規則: データプライバシーのボーダレスワールドに対処するには

21世紀初めに最も影響を与えたビジネス書の一つがトーマスフリードマン著「フラット化する世界」です。この本でフリードマンは、世界はすべての競争者が均等な機会を持つ公平な競技場であると説いています。特定の国々や企業、個人に優位に働いていた歴史的、地理的な境界は、段々と影響力が薄れてきています。国際商取引に関わる企業で、もし国境というものが有るとしても、ほんのわずかしかないと分かっている企業の数は益々増えています。

2018年春に施行が迫っているEU一般データ保護規則(GDPR)の可決の背後にある前提条件がEU全体でデータプライバシーとデータ保護規則をフラットにするというものでした。そこで意図されたのは、各EU加盟国とビジネスを行う企業がビジネスをやり易くするような一貫した統一規則でした。

現実にはGDPRは競技場を単に平坦にするだけでなく、もっと先を行ってしまいました。GDPRには相当厳しいデータプライバシーと保護規則が含まれています。また、対象がより幅広い企業や公的機関に拡大されます。GDPRはEU域内の企業にしか関係ないと思い込んでいる方は考え直しましょう!GDPRはEU域外の企業であったとしても、EUでビジネスを行う国際企業ならば適用されるのです。フリードマンが唱えているように、世界はフラット化しており、規則には地理的な境界は存在しないのです。

適用範囲、対象の拡大

アメリカに本社を置く企業でもEU域内で製品を販売する企業や、EU域内の国へカスタマーサービス業務やコンポーネントの製造をアウトソーシングしている企業はGDPRの影響を受けます。さらに、GDPR規則は産業や企業規模には関係ありません。EU加盟国に製品を販売している日本の大企業でも、ウェールズに製品を販売しているカナダの中小企業でも同じように影響を受けるのです。

規則違反は恐ろしい命題です。企業の規模にかかわらず、制裁金は最大全世界売上げの4%もしくは2,000万ユーロ(のどちらか高いほう)という莫大なものになります。中小企業でしたら即座に破産してしまいかねませんし、たとえ大企業であっても粗利益率がマイナスになってしまう危険に直面する可能性があります。

GDPRの施行はまだ一年半後だとしても、行動を起こすべき時は今です。ITプロジェクトには用意周到な計画と実装が必要となりますし、GDPRはただのITよりももっと多くの準備が必要です。ビジネスプロセスの見直しと予算配分も関係してきます。実のところ、準備に1会計年度しかない企業もあるかもしれません。そして、2000年問題の時と同様に相当な助走準備がGDPRにも必要とされます。施行ぎりぎりにならないと適切なシステムやプロセスを整えようとしない企業は、深刻なビジネスリスクに直面するでしょう。

GDPRに即した個人データセキュリティの準備

多くの企業にとって、GDPRは、厳しいデータプライバシー保護規則のコンプライアンス対策が必要となる初めての経験となるでしょう。そうした企業では、GDPRの要求に見合う個人データの発見、保護、ガバナンスを行うためのテクノロジーやポリシーが十分ではないかもしれません。

同様の厳しい規則(たとえば PCI- DSS、HIPAA、GLBAなど)への対応策としてDLPを導入している大企業と違い、中小企業では従来のDLPソリューションを管理するにはリソース(時間やスタッフ)が足りません。DLPソリューションの導入は骨の折れる作業であり、相当な人的リソースを必要としますし、大規模なポリシー導入から混乱を招きかねない誤検知や検疫にいたる、日常の管理も頭の痛い問題です。

ですが、ありがたいことに、サイバーセキュリティにおけるテクノロジーの進化により、新しい規則にまだ対処していない企業、またはデータセキュリティの最適化ソリューションを探している企業にはこれまでの複雑でコストがかかるソリューションとは違う、GDPRのデータプライバシー保護既定に即したソリューションが用意されています。GDPRに最適化したコンプライアンス ソリューションは、既存環境に追加可能なソリューションであり、既存のセキュリティソリューションのレガシーをすべて置き換える必要はありません。

  • データの可視性。個人データを発見、トラック&トレースするハイレベルな検査を実行。
  • インテリジェントにポリシーを実行。データのコンテキスト、データタイプ、データシェアの関係に応じたポリシーを適用。
  • 適応型セキュリティ。個々のGDPRポリシー要件に基づき、フレキシブルかつリアルタイムに対応。(例:ブロック、暗号化、秘匿化、サニタイズ、削除、移動)
  • ガバナンス。全体像を完全に把握できるGDPRレポート。ポリシー違反や侵害の分析でコンプライアンスを徹底。

カウントダウンはすでに始まっています。データプライバシー保護で一変する新しい世界に向けたGDPRコンプライアンスの準備をスタートする時です。

スコット コシウク クリアスウィフト北米

さらに詳しく:

EU一般データ保護規則(GDPR)の遵守

ホワイトペーパー: EU GDPRに備える ~ 新規則の概要と技術戦略

ブログ: GDPRコンプライアンス ~ 実践的なアプローチのための5つの重要ステップ