GDPR対策:コンプライアンス実行を確実に行うために鍵となるアクションとは

ガイバンカー 製品およびマーケティング上級副社長

GDPR(一般データ保護規則)と呼ばれるEUの最大かつ最も重要な国際的な規則の施行があとわずか半年後の2018年5月に迫っています。EUでビジネスを行う組織や企業は、コンプライアンスを着実に実行するために新しい技術を実装して変革を競っています。 GDPRの準備競争において業種によってパフォーマンスが異なるからといって、後れを取ること望む組織は無いでしょう。

クリアスウィフトが最近行った調査では、英国、米国、ドイツ、オーストラリアの600名の上級ビジネス意思決定者と1,200名の従業員に、GDPRに準拠するために必要なプロセスが今現在すべて整っているかどうか質問しました。コンプライアンス準拠が最も進んでいる上位5業種は、技術通信(32%)、教育(31%)、IT(29%)、ビジネスサービス(29%)、金融(29%)でした。

一方遅れをとっている業界もまだ多く、GDPRの準備が現時点で整っている企業は医療でわずか17%、小売業18%、マーケティング業19%でした。 ITプロジェクトの平均的な展開には一般的に6ヶ月要しますので、2018年5月のGDPR施行時にGDPRに完全準拠できているようにするには、今すぐ行動に移す必要があります。

プライアンス競争:出発地点をどれくらい過ぎていますか?

クリアスウィフトの最新の調査結果によると、現在、GDPR遵守を実現できている組織や企業はわずか26%しかありません。ポジティブな話としては、さらに44%が、必要なプロセスと技術的変更を遂行している最中であり、GDPRが施行した時点では準備が整っているものと期待しています。2018年5月にはGDPR準拠のゴールラインに到達しているだろうと考える組織は全体の64%にのぼります。しかし、御社がまだこの64%の一員ではなく、遵守に向けて悪戦苦闘しているなら、今すぐ取り組むべき重要な分野があります。

  • 従業員間でデータを意識する文化を導入する

    GDPR対策予算が配分される最も一般的な部門は、財務とIT(31%)です。 ただし、組織のすべての部門がGDPRに該当する重要なデータを処理しています。 マーケティング担当者はターゲット参加者の個人データを使用し、営業担当者は顧客の連絡先情報を共有し、人事担当者は従業員の個人データを処理しています。従業員に対してこうした情報をどのように保護するか、なぜそうしなければならないのかを教育することが、部門間のデータ意識を高め、データ侵害のリスク軽減につながります。定期的なコミュニケーションやトレーニングセッションを行って、データを安全に保存する方法と場所、様々なプラットフォーム間で安全に共有する方法を教えることは、GDPR順守を実現するための重要なステップとなります。

プロセス

  • 組織内と組織外部への機密データの流れを理解する

    重要なデータの処理と共有を行う組織内の様々な部門間でデータフローの練習を行います。テクノロジーを活用して使用状況をモニターし、組織内外で重要データの流れを可視化します。これによって、階層構造の導入が可能になり、データの機密度に基づきデータを整理し、その機密度に基づいて異なるタイプのデータにアクセスするユーザーを指定するポリシーを確実に実行できるようになります。ある特定の種類の情報がクローズドネットワークから離れるのを防ぎ、サプライヤー業者と個人データの取り扱い方法を決めるデータセキュリティ契約を締結することは、組織全体で良好なデータガバナンスを創り上げる上で鍵となるステップの変更です。

  • 組織内のGDPR関連データの保存場所を把握する

    GDPRでは、組織はPIIデータの保存場所、使用方法、共有方法を把握し、適切に保護することを要求されています。組織全体でData Discoveryを実施すると、GDPR関連のすべてのデータ(ノートパソコン、デスクトップ、サーバー、システムなど)がどこに有るかに関して、これまでにない洞察が得られます。

テクノロジー

  • 組織のGDPRコンプライアンスをサポートする適切なテクノロジーを導入する

    最後にテクノロジーです。ポリシーを実行し従業員を保護するとともに、GDPR準拠を保証し、組織の遵守努力を実証する上で大きな役割を果たすために、テクノロジーの導入が必要です。監視とデータ発見の演習の結果、データ処理プロセスと既存のセキュリティ インフラのギャップが明らかになるでしょう。選択したテクノロジーによってこうしたギャップを埋めるとともに、重要情報保護の強化を目指すべきです。クリアスウィフトのAdaptive(適応型) DLPテクノロジーは、ベストプラクティスのデータ保護プロセスを自動化し、セキュリティポリシーを適用し、デジタル コラボレーション チャネルを介して組織の内と外を流れるデータの制御と可視性を提供します。

    既存のテクノロジーインフラをすべて置き換えるのではなく、既存のインフラを強化するテクノロジーを選ぶことで、コストを節約できるだけでなく、GDPR準拠がより加速します。

GDPR準拠のサポートについてもっと詳細をお知りになりたい方は、クリアスウィフトまでご連絡ください

追加情報

インフォメーションガバナンス

EU一般データ保護規則(GDPR)の遵守