一般データ保護規則(GDPR)とは

GDPRは、欧州連合(EU)全体でデータ・プライバシー要件を統一することを目的につくられた規則です。EUのデータ主体(エンド・ユーザー、顧客、従業員を含む)を相手に商活動を行う場合、またはEUのデータ主体の情報を取り扱う場合、事業を継続していくためにはGDPRに準拠する必要があります。IBM®セキュリティーのソリューションでこれらの主要な要件に対応する方法をご確認ください。

GDPRをどの程度実現していますか?

最初から始める

IBM Security Guardium® Analyzer は、GDPRの対象となる個人データに関連したリスクを効率的に識別するのに役立ちます。これは、次世代データ分類機能と脆弱性スキャン機能を活用して、クラウド・ベースおよびオンプレミスのデータベース内に存在するGDPR対象データに関連したリスクを明らかにします。

中間点

IBM Data Privacy Consulting Services は、プライバシー・リスクを軽減するために組織が取る次のステップを決めるのに役立ちます。IBMが提供するGDPR対応状況評価は、成熟度評価、ギャップ分析、および前進するためのロードマップを策定するための体系的なアプローチを提供します。

プログラムを運用する

The Resilient®Incident Response Platform は、GDPR要件を満たしたり、インシデント対応を合理化して違反通知にかかる時間を短縮したりするのに役立ちます。GDPR準備ガイド、GDPRシミュレーター、およびGDPR用に強化されたプライバシー・モジュールなど、GDPR固有のコンポーネントがプラットフォームに組み込まれています。

IBMセキュリティーGDPRフレームワーク

5つの対応ステップ

IBMセキュリティーのGDPRフレームワークは、アセスメントから準拠まで、GDPR要件に対する準備を行い適合させるための支援を行う、総合的なアプローチを提供します。

プライバシー要件

GDPRの全条項に基づき、現在のデータ・プライバシーの水準を評価します。保護情報が企業のどこにあるかを発見します。

評価準備:

  • GDPRの条項に基づき評価を実施、GDPRへの対応方針を文書化する
  • 個人情報に関する本人の権利(同意、アクセス、修正、削除、移転の権利)を評価する

データと関連システムの特定:

  • 個人情報データと、関連するシステムを特定、分類する
  • アクセス・リスクを特定し、システム構想段階から個人情報保護をサポートする

 

主なソリューション

セキュリティー要件

セキュリティー・プラクティスの現状を評価し、ギャップを特定し、セキュリティー管理を設計します。セキュリティー上の脆弱性に加え、個人データ資産および影響を受けるシステムを発見して優先順位を付け、適切な管理を設計します。

評価準備:

  • 現在のセキュリティー状況を評価、ギャップを特定、成熟度の分析、準拠のロードマップを作成する
  • 脆弱性を特定し、システム構想段階から個人情報保護をサポートする

データと関連システムの特定:

  • セキュリティー管理を設計するために、個人情報データと、関連するシステムを特定、分類する

 

主なソリューション

プライバシー要件

GDPRロードマップと実施計画を作成します。評価段階での調査結果を使用して次のステップとなるアクティビティーを展開し、企業内のリスクを軽減します。

ロードマップ:

  • GDPR対応計画を策定する

プライバシー・バイ・デザイン:

  • 対応規則、ビジネス・プロセス、システムを設計する
  • GDPRのリファレンス・アーキテクチャー(一般的な用途とそれに対応する典型的なシステム構成)を作る
  • 管理者や処理者のガバナンス状況を評価する

 

主なソリューション

セキュリティー要件

個人データ資産のリスクを特定することで、セキュリティーの修復および実装計画における優先順位を設計します。データ保護のためのセキュリティー・リファレンス・アーキテクチャーと技術的/組織的対策(TOM)を組み込みます。設計段階からデフォルトでセキュリティーが考慮されます。

ロードマップ:

  • セキュリティー対応計画を策定する

セキュリティー・バイ・デザイン:

  • セキュリティーのリファレンス・アーキテクチャー(一般的な用途とそれに対応する典型的なシステム構成)を作る
  • リスクに適したTOMの設計(暗号化、仮名化、アクセス制御、監視など)

 

主なソリューション

プライバシー要件

対応方針、プログラム、テクノロジーを含めGDPR戦略に管理態勢を導入します。企業をGDPR対応に変革します。

プロセスの変革:

  • 対応方針、ビジネス・プロセス、システムを実装する
  • 個人情報に関する本人のアクセス・リクエストを自動化する

 

主なソリューション

セキュリティー要件

暗号化、トークン化、動的マスキングなどのプライバシーを強化します。アクセス制御、アクティビティーの監視、アラートなど、必要なセキュリティー管理を実装します。発見されたアクセス・リスクとセキュリティー上の脆弱性を緩和します。

保護:

  • プライバシーを強化するコントロール(暗号化、トークン化、動的マスキングなど)の実装
  • セキュリティー管理を導入する(アクセスリスクと脆弱性に対応し、軽減する)

 

主なソリューション

プライバシー要件

GDPR固有のメトリックを使用して、GDPRガバナンスのプラクティスを管理します。企業がリスクをどのように緩和しているかを把握します。 

GDPRプログラムの管理:

  • 情報ライフサイクル管理(情報の重要度や特性、利用頻度などに応じた、データの移動と配置)など、GDPRデータ管理の対応策を運用する
  • 個人情報に関する本人の権利(同意、アクセス、修正、削除、移転の権利)対応などの、GDPR準拠プログラムを管理する

プログラムの実行:

  • 個人情報のアクセスを監視する
  • 役割とアイデンティティーを管理する
  • GDPRメトリックと報告スキーマを開発する

 

主なソリューション

セキュリティー要件

リスク評価と緩和、インシデントの特定、エスカレーション、対応、フォレンジックおよび解決、担当者の役割と責任など、セキュリティー・プログラムのプラクティスをオンプレミスやクラウドで管理し実装します。プログラムの有効性を測定し、文書化し、利害関係者に伝えます。セキュリティー監視、インシデント検出、脅威への対応を実施します。

セキュリティー・プログラムの管理:

  • リスク評価、役割/責任分担といったセキュリティー対応策を導入、管理する

プログラムの実行:

  • セキュリティー監視、インシデント検出、脅威への対応を実施する
  • 情報漏えい/データ侵害対応、インシデント分析と証拠保全を行う

 

主なソリューション

プライバシー要件

GDPRのプラクティスの強化と改善を行い、懸念がある領域を特定し、必要に応じて対処します。管理者/処理者の関係を効果的に管理し、関連する技術的および組織的な対策(TOM)に従っているかどうかを把握します。

実証:

  • 本人のデータ・アクセス、修正、削除、移転を含む、個人情報データ・アクセス監査証跡の記録
  • 処理ガイドラインの提供、データ処理のトラッキング、監査証跡の実施、本人のアクセス要求への準備を含む、データ処理者/管理者ガバナンスの運営
  • コンプライアンス・プログラムの文書化と管理(GDPR対応のモニタリング、アセスメント、評価とレポーティング)

対応:

  • 規則違反への対応と管理

 

主なソリューション

セキュリティー要件

技術的/組織的対策(TOMs)が施されており、リスク処理を適切に行うためのセキュリティー管理が確保されていることを実証します。これには、監査レポートの作成、進捗状況を測定するためのメトリックの文書化が含まれます。セキュリティー管理とアクティビティーの継続的な監視、アセスメント、評価および報告を行うためのポリシーなど、セキュリティー・プログラムそのものを文書化します。インシデントや侵害に対応して管理し、義務づけられている72時間以内に規制当局に報告します。

実証:

  • 技術的/組織的対策(TOMs)を実証し、リスク処理を適切に行うためのセキュリティーを確保
  • セキュリティー・プログラムの文書化(セキュリティー対応のモニタリング、アセスメント、評価とレポーティング)

対応:

  • 規則違反への対応と管理

 

主なソリューション

GDPRリソースをさらに見る

GDPRによるビジネスの変革

IBMセキュリティーのリーダーによる、GDPRについての洞察が得られる情報

GDPRはプライバシーとセキュリティーにとどまりません

お客様は、EU一般データ保護規則を含む各法律および規制の遵守をお客様ご自身で確保する責任があります。お客様のビジネスに影響を与える可能性がある関連法および法的要求事項の確認と解釈、並びにかかる法を遵守するためにお客様がとる必要のある措置に関し て、弁護士の適切な助言を得ることはお客様のみにかかわる責任とさせていただきます。ここに記載された製品、サービス、その他の機能は、すべてのお客様の状況に適しているわけではなく、利用が制限される可能性があります。IBMは法律上、会計上、または監査上の助言を提供することはいたしません。また、IBMのサービスまたは製品が、お客様がいかなる法規も遵守されていることの裏付けとなると表明するものでも、保証するものでもありません。IBM自身のGDPRへの対応のジャーニーや、お客様のコンプライアンス・ジャーニーをサポートする、GDPRに関連したIBMの機能とオファリングについての詳細をご覧ください。