GDPRは、EEA(欧州経済領域)居住者の個人情報の保護強化を意図した法令で、2018年5月に施行される。適用の対象となる組織は、EEAに現地法人や支店、駐在員事務所を置く場合に限らない。日本国内でネットビジネスを展開しEEAの顧客を持つ企業、EEAの拠点に勤務する従業員の人事情報などを国内の本社で集中管理する組織、EEA国籍の従業員を日本で雇用する組織もGDPRの適用対象となる。
GDPRは、個人情報の管理、処理および個人情報をEEA外に移動する行為がGDPRが求める法的要件を満たしていること、およびそれを示す根拠の提示を求めている。また、情報流出などの侵害発生時は、72時間以内に監督機関に報告する義務を示している。そのため、GDPRを遵守するには、データ ガバナンス、コンプライアンスプログラム管理、リスク評価、侵害に対する準備という4つの重要分野において、適切なプライバシー管理態勢とセキュリティリスク管理態勢を構築する必要がある。
企業のガバナンス・リスク・コンプライアンス(GRC)活動を支援するGRCプラットフォーム「RSA Archer Suite」は、新バージョンで、GDPRを遵守するためのガバナンスを効かせた個人情報の運用管理体制とその実施プログラムを管理するための2つの日本語版ユースケースを加えた。
データガバナンスでビジネスリスクにつながるデータプライバシーを保護
GDPRのコンプライアンスで重要な要素は、個人情報へのアクセス権を持つ人の統制になる。組織は、さまざまな方法で個人情報を保護する必要があり、個人情報の種類、処理の目的、EEA外の第三国への転送、関連する技術的・組織的なセキュリティ対策など、対象データを扱う処理業務の内容を正確に把握し、説明責任を明確化する必要がある。
・RSA Archer Data Governance
個人情報の処理における適切な統制の特定、管理、実装を支援するユースケース。処理行為の正確なインベントリを維持し、データ保存に関する要件管理を支援する。
- 関連する情報および、これらの情報を扱う処理業務の台帳維持・管理
- 情報台帳と連携した通知・同意文面のライブラリ管理
- 情報台帳と連携したデータ保持期間の管理
- 高機密個人データ処理に対する評価の実施(GDPR第30条)
・RSA Archer Privacy Program Management
データとその保護に関する影響度評価を実施し、監督機関とのコミュニケーションやデータ侵害の通知の履歴管理を目的とするユースケース。プライバシープログラムを総合的に管理し、GDPR遵守の取り組みを実証する際に必要な中央リポジトリとして機能する。
- 対象データの棚卸と分類
- データ識別評価の実施
- プライバシー影響度評価の実施
- データ保護影響度評価の実施
- 各監督機関とのコミュニケーション管理
上記2つのユースケースは、「RSA NetWitness Suite」と並行して使用することでデータ侵害対応の迅速化を図ることができる。「RSA SecurID Suite」を並行して使用することで、個人情報のライフサイクル管理が可能となり、コンプライアンス能力の継続的な向上を支援する。
リスク評価、侵害に対する準備の領域への対応は、RSA Archerの既存のユースケースやRSAソリューションで支援する。
リスク評価により自社のサイバーリスクおよびビジネスリスクを理解
GDPR第32条は、統制の適切な設計・実施の徹底のため、セキュリティリスク評価プロセスの要素を概説している。効果的なリスク評価プロセスによって、リスクの特定と内部統制への連携の促進、GDPRコンプライアンスに関するギャップの縮小、リスク軽減戦略の改善が可能になると同時に、サイバーセキュリティ対応体制を改善するための行動計画が組織に提供される。
GDPR関連の重要なプロセス実施・管理には、次のようなRSA Archerユースケースが役立つという。
・RSA Archer Security Incident Managementユースケース:大量のセキュリティアラートの対処を支援し、セキュリティインシデントのエスカレーション、調査、解決までをシームレスに行うことができる、最適化されたインシデント管理プロセスの導入を支援。
・RSA Archer Security Operations & Breach Managementユースケース:データ侵害に対するワークフローとセキュリティオペレーションチーム全体の管理機能により、セキュリティインシデント対応の強化を支援。
・RSA Archer Issues Managementユースケース:リスク評価、コントロールセルフアセスメント、各種監査で発見した課題を管理する一連の管理プロセスの導入を支援。
・RSA Archer IT Risk Managementユースケース:GDPRコンプライアンス関連のITリスクの特定と評価を促進し、リスク軽減戦略の改善までを支援。
・RSA Archer IT & Security Policy Program Managementユースケース:GDPRの準拠に向けたポリシーと手順の文書化から変更管理までの管理プロセスの導入を支援。
・RSA Archer IT Controls Assuranceユースケース:GDPRに関係する統制の整理および整備と有効性評価から報告までの管理プロセスの導入を支援。
・RSA Archer Third Party Catalogユースケース:外部委託先とのリレーション、エンゲージメント、関連する契約を文書化することで、GDPRに関連した外部委託先の特定を支援。
データ侵害への対応で重要となる対応の可視化
GDPRの第33条は、個人情報の侵害を監督機関に通知する特定要件を概説しており、対処にはデータ侵害事案の詳細を深く理解することが必要になる。多くのデータ保護要件が情報漏えい時の対応と報告を重視しており、事象を認識してから72時間以内に規制機関に報告することを求めている。
サイバーセキュリティ脅威を早期に発見し、分析調査してインシデントレスポンスの実行を、RSA NetWitness Suiteと、RSA NetWitness Suiteと導入前、導入後向けの各種サービスが支援する。
RSA NetWitness Suiteは、インフラ全体をスキャンして攻撃の兆候を検知できるサイバー攻撃対策ソリューションで、ふるまい分析と機械学習を活用して、攻撃シーケンスの可視性を向上させてデータ侵害の範囲と性質を把握し、迅速な通知を可能にする。
コンプライアンスプログラム管理によりコンプライアンスの実施を最終目標にしない
コンプライアンスプログラム管理では、拡張性があり柔軟な環境を構築し、組織のプライバシー ポリシーやGDPR関連の手順、標準、統制を文書化して管理することが求められる。
RSA Risk & Cyber Security Practiceは、企業がビジネス主導型のセキュリティ体制を構築し、高度なセキュリティオペレーションセンターを確立して、GRCプログラムを活性化できるように設計されている戦略的サービスで、次の4つの領域をカバーする。
・RSA Risk Management Practice:GRCプログラムを最適化するための戦略的なコンサルティング サービスを提供。RSA Archer SuiteをはじめとするRSA製品およびサービスの計画、実装、導入、アップグレードを支援するために、人員とサポートサービスを提供。
・RSA Advanced Cyber Defense Practice:セキュリティ組織がデータ侵害をはじめとするサイバーインシデントに対して迅速で的確な対応を可能にするプロセス、手順、ワークフロー、自動化を開発する上で役立すコンサルティングサービス。
・RSA Incident Response Practice:GDPRの72時間通知要件を満たすための取り組みで、セキュリティ侵害に対応できるようにサポート。
・RSA Identity Assurance Practice:組織がGDPR関連データへのアクセスを管理するための包括的なプログラムを計画・実装する上で役立つ。組織は、誰がどこにアクセスできるかを把握することで、十分な情報に基づいた意思決定を行い、危険なアクティビティを適切に特定し、コンプライアンスを順守できる。
