SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2016 講演レポート

待ったなしのEU一般データ保護規則、適用対象になるのはどんなケース?どのように進めるべき?


誰がどのようにアクションをとり、どんな組織にサポートしてもらうべきか?

 適用対象となれば何らかの対応をとる必要がある。門脇氏はいろいろな視点で対応策のポイントを具体的に挙げた。

 まずは誰が何をするべきか。門脇氏は部門ごとに対応すべき項目を分類して提示した。例えば情報システム部門であれば、データポータビリティの実現、アクセス権付与や承認の管理など情報システムに実装すべき項目がある。情報セキュリティ部門であれば、データセキュリティの強化や匿名処理の標準化や文書化など。

出所:PwCコンサルティング合同会社 Security Online Day 2016 
講演資料より[クリックすると図が拡大します]

 情報システム以外にも法務部門なら契約プロセスやモデル条項の整備、経営に近い立場ならデータプライバシーオフィサー(データ保護責任者)やEUにおける代理人の選任などがある。  

 GDPR対応は多岐にわたるため、企業全体でプロジェクトとして進めていくことになる。全体像はどうとらえたらいいか。大きなステップとしては「アセスメント」、「方針検討」、「実装」の3段階になる。最初に現状を把握するためにアセスメントを行い、体制や業務の見直しからシステムの導入や更改の方針などを検討し、そして実装という流れだ。  

出所:PwCコンサルティング合同会社 Security Online Day 2016 
講演資料より[クリックすると図が拡大します]

 アセスメントとして門脇氏はPwCのRAT(Readiness Assessment Tool)を挙げた。これはPwC UKが開発した評価ツールとなる。現状を業務担当者への聞き取りと、規定文書や情報システムなどの調査から何が不足しているのかGAPを洗い出す。門脇氏は「短期間でGAP分析が可能となります」とメリットを挙げる。  

 体制も重要なポイントだ。グローバル企業に関わる問題なので、各国ごとに対応していては非効率だ。グローバル企業ならグローバルで対応を進めていくのはもちろんのこと、サポートを依頼する組織がどれだけグローバルなネットワークを持つのかも重要だ。グローバルな体制で情報や知見を収集できる組織のほうが理想的だ。  

 サポートを依頼する企業がどの段階までカバーしているかも重要なポイントだ。例えば「アセスメントだけ」「コンサルティングまで」かもしれないし、システムソリューションの導入など具体的な実装まで伴走してくれれば心強いことだろう。

 ここはPwCの強みでもある。過去の個人情報保護施策強化策事例では、平時のユーザー行動を自動学習しておき、逸脱行為を自動検出するような振る舞い分析検知型システムの実装、データのトークン(秘匿)化の実装などを実施した。振る舞い分析検知であれば早期検知が期待できるため、GDPRが定める個人情報漏えい発生時の72時間以内の報告義務への心強い支えとなりそうだ。

 発効まで2年未満。システムを更改するにしても、社内体制を見直すとしても、あまり時間は残っていない。早急にすべきことを確認して発効開始にそなえておきたい。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8572 2016/11/08 13:36

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング