GDPR
GDPR計画の策定:「what」ではなく「how」を考える時期が来た
2018-05-16
カテゴリー GDPR
記事をシェアする:
GDPR施行後3ヶ月:セキュリティー対策アップデート・セミナーはこちら
以前のブログ記事で、IBMセキュリティーの一般データ保護規則(GDPR)フレームワークの評価段階について説明しました。今回、お伝えしたいのは設計段階についてです。評価段階が「何をすべきか」を決定するフェーズだとすれば、設計段階は「それをどのように行うか」というフェーズになります。
「設計(デザイン)」という言葉に対して、人が見せる反応はさまざまです。ある人は、新しいアイデアを創造するための機会と考えています。その一方で、形式や機能としての「設計(デザイン)」について、質問を投げかけてくる人もいます。彼らは設計を問題解決の実践演習だと考えているわけです。他にも、何かを設計するにあたり、選択肢や決定すべきことの多さにおじけづく人もいます。
実際のところ、GDPR準備計画にどのように取り組むべきか、最善といえる方法はありません。ただし、考慮すべき効率的な方法は存在します。
リスクと業務目的のバランスを取る
最初に認識すべきことは、自社のGDPR準備計画を設計するプロセスで、具体的なニーズと全体的な状況を反映する必要があるという点です。この段階では、リスクと業務目的のバランスを取るという戦略を描いておくべきです。同時に、評価段階で学んだことを処理するため、詳しい計画を練る必要があります。
たとえば、評価段階を経て、具体的な権限が判明したはずです。次の段階として、それを既存のものに適応させられるのか、新しいものを作成しなければならないのかを判断する必要があります。デザイン段階の重要性は、ここにあります。つまり、現在のGDPR準備段階から、より成熟した準備体制へ移行するための最善策を決めるのです。
厳しい決断を下す
設計した計画を実行するためには、何が必要かをより深く理解することが重要です。独自のGDPRプログラムを設計する上で、その運用に必要な投資とリソースについて難しい決定を下す場面も出てくるでしょう。データ・アクセス権、ベンダー管理、従業員アクセス、暗号化ポリシーを検証する場合などを考えると、当然のことかもしれません。
ニーズとトレードオフについて明確な方針を立てるというのは、難しいものです。GDPRの準備体制の仕上げを担当する法務チームやコンプライアンス・チームの場合、特にそうでしょう。この2チームは、法規制を読み、要件を確認し、現在進めていること、GDPRが求めていることを比較して、ギャップがどこにあるのかを判断していきます。両者とも、法律やその意味を理解することには秀でていますが、変更内容に必要な技術について、的確に理解できる立場ではありません。
そのため、暗号化ポリシーなどについて、評価段階で現在の作業の処理方法を微調整する必要があると指摘されるかもしれません。しかし、そのプロセスには複数のシステムが関わっています。つまり、複数の人員を動員し、何カ月も時間を要する可能性があるのです。これは、作業を手動でこなすのではなく、プロセスを自動化する計画を立てている場合、よく見られるケースです。つまり、手早く変更したほうがよいのか、必要なリソースを投資してプロセスを一新させた方がよいのかを、判断する必要があるのです。
GDPRについて正しい質問をする
細部に十分な注意を払い、正しい問いかけをするように心がけてください。たとえば、GDPRにはインシデント対応のための明示的なルールがあります。GDPRでは、規制当局に72時間以内に違反を通知する必要があり、場合によっては一刻も早くデータ主体に通知することが求められます。
さらに、ベンダー管理の問題も発生します。GDPRはベンダー管理を要求していますが、ベンダーがデータ処理担当者としてルールに従っているかどうかを、どのように判別したらよいのでしょうか。
そして、データを抹消するための方法についても考えなくてはなりません。取得した誰かのデータを、あらゆる記録から確実に消去する場合、どれほどの手間がかかるかを想像してみてください。そのファイルを何度コピーしたのか、そして、それが今はどこにあるのか。場合によっては、最大の難作業になるかもしれません。
デザインによるプライバシーとセキュリティー
続いて、設計(デザイン)によるプライバシーとセキュリティーについて考えてみましょう。つまり、プライバシーとセキュリティーの観点を、あらゆる作業に組み込んでおくということについてです。
まず、開始時点から予算承認に至る承認プロセスに注目した場合、注意するのは下記の通りです。
①誰が作業を行うのか、プロジェクト管理オフィス部門やそれに相当する部署にどうやって作業者の情報を組み込むのか。あるいはプライバシーやセキュリティーのチェックを含む、新しいプロジェクト管理承認プロセスを作成する必要があるのか。
③基本的なプロセスと方針を確実に定着させるために、どのように作業を進める予定なのか。
④作業が完了したことを、どのように証明するのか。
優れた戦略シナリオやガイドラインが用意されている場合でも、プロジェクト管理プロセスの一環として、それらの内容を順守していることを証明する必要があります。その方法はたくさんありますが、たとえば、プロセスに従っていることを示すサインオフ文書のように、簡単なものもあります。あるいは、デザイン審査委員会などを編成することもできます。判断は、現在の組織の規模や予算の大きさによって異なります。また、GDPRに関する大半の決定事項と同様、最終的に手元に何があるか、何を必要としているかによって決まります。
注:お客様は、GDPRを含めたさまざまな法律や規則を遵守する責任があります。弊社は、法律に関するアドバイスを提供したり、お客様がいかなる法律または規則を遵守していることを、提供するサービスまたは製品により表明、保証するものではありません。コンプライアンス遵守に向けた道のりをサポートするIBM独自のGDPR準備体制のためのプロセス、GDPRフレームワークの機能の詳細については、こちらをご覧ください。
GDPRシリーズ
→ GDPRを理解するために:自社の「現在地」を知る
→ GDPR計画の策定:「what」ではなく「how」を考える時期がきた
→ 全てを一度に変える必要はない:GDPR対応プロセスについて
大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状
この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]
AIと人間の不正搾取対決:新時代のフィッシングの手口を解明する
※この記事は、IBM X-Force Redに所属するエシカル・ハッカーのStephanie Carruthersにより執筆された文章を翻訳しています。 攻撃者の技術革新は、テクノロジーの発展とほぼ同じスピ […]
IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください
架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]