ホーム ケーススタディ IBM Global Chief Data Office IBM Global Chief Data Office
IBM® Data Risk Managerを使用したGDPRへの準備の管理における脆弱性の視覚化
ノートPCでタイピングしている男性

IBMのGlobal Chief Data Officeは、経営陣とそのチームに視覚的なコントロール・センターを提供するためにIBM Data Risk Managerを選択しました。Data Risk Managerは、ビジネスで使用可能なダッシュボードを使用して、IBM全体のプライバシーおよびデータ担当者が機密データに関するビジネス・リスクを発見、分析、視覚化して、是正措置を講じることができるように支援します。

ビジネス上の課題

EUデータ主体の個人データを管理する企業は、GDPRへの対応の一環として、データの種類、データの所在、所有者、および関連するリスクのレベルを理解する必要があります。

変換

IBMのGDPRリファレンス・アーキテクチャーと共通サービスの重要な要素として、IBM Data Risk Managerは、データ関連のビジネス・リスクとコンプライアンス・リスクをビジネス・コンテキストで発見、分析、視覚化するのに役立ちます。

結果 以下を視覚化します

数千のアプリケーションとテラバイト規模のデータにわたるデータリスク

得られるもの

監査への対応や経営幹部への報告に必要な重要情報

以下の回避に役立ちます

GDPRおよびその他の規制への違反により発生する可能性のある罰金

ビジネス上の課題の詳細
グローバル企業におけるデータ・リスクの評価

170か国以上で事業を展開するグローバル企業として、IBMは長年にわたり、世界中のデータ・プライバシー法および規制の遵守に取り組む必要がありました。EU一般データ保護規則(GDPR)が2016年4月に採択されたとき、IBMは2018年5月25日の施行期限に備えつつ、プライバシー慣行を刷新し、製品とサービスを強化する好機と考えました。これは、IBM全体にわたる世界的な変革プログラムとしてGDPRを世界的に採用し、すべての顧客に利益をもたらすことで達成されました。

そのグローバル・プログラムには、数多くの作業の流れの中で、IBMが管理する個人データの種類、その所在、使用方法、所有者を理解するためのGDPR要件への対応が含まれていました。「この仕事には全社で6,500件を超えるアプリケーションの調査が含まれており、そのうち約3,400件はGDPRの観点から重要です」と、グローバル・チーフ・データ・オフィスのシニア・テクニカル・スタッフ・メンバーであるNeera Mathur氏は述べています。

この取り組みの結果は、準備への取り組みにおける重要な最初のステップとして、収集され、中央のデータ・プライバシー・カタログにまとめられました。しかし、IBMの管理下にあるGDPR関連データに関連するリスクをどのように特定して評価するか、またその情報をビジネス・リーダーとどのように共有するかという疑問が残りました。

IBM Data Risk ManagerとInformation Governance Catalogを併用することで、信頼できるデータを非常に短時間で視覚化して管理できるようになりました。 Inderpal Bhandari Chief Data Officer IBM
概要と経緯の詳細
知らないことが問題につながる可能性があります

IBMのGlobal Chief Data Officeは、リファレンス・アーキテクチャーと、GDPRに対応したデータ・ストアを作成する際に事業部門をサポートするための一連の共通サービスの開発を担当し、IBM Information Governance Catalogをプライバシー・データのセントラル・ストア(プライバシー・カタログ)向けに、IBM Data Risk Managerをエグゼクティブとそのチームにビジュアル・データ・リスク・コントロール・センター(リスク規制ダッシュボード)の提供向けに、選択しました。

Data Risk Managerは、ビジネスで使用可能なダッシュボードを提供することで、IBM全体のあらゆるレベルのプライバシー担当者とデータ担当者がデータ関連のビジネス・リスクを発見、分析、視覚化して、是正措置を講じることができるように支援します。例えば、GDPR施行日までの数カ月の間に、Data Risk Managerは、個人データを保護するためのより良いコントロールがあるシステムに移行できる場合、暗号化すべき場合、あるいはまとめて削除できる場合についての洞察を提供できます。視覚化には、データの所在のマップや、リスクと脆弱性に焦点を当てたグラフィックが含まれます。

現在、Data Risk Managerは、プライバシー・カタログに保存されているデータ・ストアおよびアプリケーション・レベルの情報を利用して、規制当局が尋ねるであろう以下の基本的な質問に対する答えを提供できるようになりました:どのような個人データを持っていますか?何に使われますか?どのようなアプリケーション、ビジネス・プロセス、および人々がそれにアクセスできますか?この特定のデータ・ストアの所有者は誰ですか?それは、どこにありますか?また、プライバシー・カタログに変更が加えられると、更新された情報がダッシュボードに反映され、GDPR 含む複数のデータ・プライバシー規制への準拠に対処する継続的な要件をサポートします。

Data Risk Managerは、ビジネス・ユニットごと、またはアプリケーションごとに企業全体のグローバル・レベルで実行できるため、ユーザーは自分の役割に関連するデータのみを表示できます。たとえば、IBMの最高プライバシー責任者とデータ・プライバシー責任者は、IBM全体の機密個人データのステータスを確認できますが、事業単位レベルのデータ・プライバシー責任者は、業務または所在に関連するデータのみを確認できます。

成果の詳細
信頼できるデータの視覚化と管理

IBM最高データ責任者のInderpal Bhandari氏は、「IBMは非常に多様性が高く、多くの事業単位と個人データを処理する何千ものアプリケーションを抱えています。Data Risk ManagerとInformation Governance Catalogのおかげで、信頼できるデータを非常に短時間で視覚化して管理できるようになりました」と語っています。

IBMのGDPR共通サービス・リファレンス・アーキテクチャーの主要コンポーネントであるData Risk Managerは、企業全体のプライバシー担当者がGDPRやその他のデータ・プライバシー規制に関するデータ・リスクやコンプライアンス状況を報告し、監査人や社内の個人からの情報要求に対応するのに役立ちます。

また、リスクを視覚化することで、リスクを迅速に特定し、経営幹部が容易に理解し、適切に対処できるようにすることで、Data Risk Managerは、IBMがGDPRを含むデータ・プライバシー規制のコンプライアンス違反による罰金を回避するのに役立ちます。

IBM Global Chief Data Office

IBMはデータ保護のリーダーとして認められており、世界中のデータ・プライバシー法を遵守しています。プライバシー・バイ・デザインに対するIBMの継続的なコミットメントの一環として、IBMは、お客様がご自身のデータ保護目標をよりよく達成できるよう、データ保護の原則をビジネス・プロセス、製品、およびサービスにさらに深く組み込んでいます。IBMは、セキュリティーの強化に加えて、クライアントとパートナーのGDPRコンプライアンスを支援できる革新的なデータ・プライバシーおよびガバナンス・ソリューションを提供します。IBM自身のGDPR準備の取り組み、お客様のコンプライアンスの取り組みをサポートする当社のGDPR機能とサービスの詳細については、こちらをご覧ください。

次のステップ

IBM Data Risk Managerについて詳しくは、ibm.com/products/data-risk-managerにアクセスしてください。

Twitterで@IBMSecurityをフォローするか、ブログsecurityintelligence.comにアクセスしてください。

他の事例を見る 詳細はこちら
法務

© Copyright IBM Corporation 2018. IBM Security, 75 Binney Street, Cambridge MA 02142

アメリカ合衆国で制作。2018 年 8 月

IBM、IBM LOGO、およびibm.comは、世界の多くの国で法的に登録された、International Business Machines Corporationの商標です。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBMの登録商標の最新リストは、Webサイトの「著作権および登録商標情報」(ibm.com/trademark)でご確認いただけます。その他の製品名およびサービス名はIBMまたは他社の商標である可能性があります。IBM の商標の最新リストは、Web 上の「著作権および商標情報」(ibm.com/trademark)で入手できます。

本資料は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開しているすべての国で、すべての製品が利用できるわけではありません。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。

IBM製品およびプログラムを使って他社製品またはプログラムの動作を評価したり、検証する場合は、お客様の責任で行ってください。

本書の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。

適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざん、破壊、不正流用、または他者への攻撃を含むシステムの損害や悪用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切なアクセスを防止する上で完璧な効果のある、製品、セキュリティー対策は1つもありません。IBMのシステムおよび製品は、包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMは、システムおよび製品がいかなる当事者の悪意のある行為または違法行為から免れることを保証しません。

お客様は、欧州連合一般データ保護規則を含むさまざまな法律や規制を自ら遵守する責任があります。お客様は、お客様のビジネスに影響を及ぼす可能性のある関連法規の特定と解釈、および当該法規を遵守するためにお客様が取る必要のある行動について、有能な法律顧問の助言を得ることに単独で責任を負うものとします。ここで説明されている製品、サービス、およびその他の機能は、すべてのお客様の状況に適しているわけではなく、可用性が制限される場合があります。IBMは法律、会計、または監査に関する助言を提供することはなく、また、IBMのサービスまたは製品が、いかなる法規もしくは規則をお客様が順守していることの裏付けを、表明ならびに保証するものでも

IBM自身のGDPRへの対応やお客様の準拠への取り組みをサポートする、GDPR関連の機能と製品についての詳細は、こちらをご覧ください。