あなたの会社のデータは、社外でも保護されていますか?今月、「一般データ保護規則(GDPR)」が施行されます。これにより、EU加盟国の居住者の個人情報の収集や処理を行っている、世界中のあらゆる組織が影響を受けることになります。GDPRのコンプライアンスに関する専門家が、ビジネスを守る方法についてアドバイスします。
リモートワーカーを多く抱える企業であれば、データの不正使用や紛失、流用を防ぐことが極めて重要であることは、すでにご存知だと思います。しかし、今月(2018年5月)、「一般データ保護規則(GDPR)」が施行されると、GDPRの厳しい要件を満たすことも重要となってきます。さもないと、財政上の重大な損失が生じたり、企業イメージに傷がついたりする恐れがあります。では、どのようにすれば、柔軟な働き方のメリットを維持しつつ、移動中にデータを保護できるのでしょうか?
1. 従業員を教育する
GDPRによる定義では、企業は「情報所有者」、リモート勤務の従業員は「情報取扱者」となります。「つまり、リモート勤務の従業員も、ビジネス上のデータの保護について重要な役割を担うことになります」と、Data Comply(※1)のマネージングディレクターであるジョン・スローター氏は述べています。さらに、「リモート勤務の場合は特に、GDPRの遵守が日々の業務において優先事項となるべきです」とも述べています。「安全なネットワークの使用に関する明確なガイドラインが重要となります。セキュアな環境内に留めるべきデータを特定し、従業員に周知するのです」スローター氏は、従業員が問題を理解して最新の手法で業務を行えるよう、従業員に対する定期的な研修、再教育、調査を実施すべきだと、企業にアドバイスしています。
また、従業員に対し、公衆無線LANは決して安全ではないことを再認識させる必要があります。「公衆ネットワークを使って、ネットバンキングをしたり、業務用の機密書類にアクセスしたりすることは避けるべきです」と、脅威検出・対応を専門とするRedscan(※2)のCTO(最高技術責任者)であるアンディ・ケイズ氏は述べています。「従業員には、セキュリティ保護されたWi-Fiアクセスポイントだけを利用するか、セキュアな(VPN)接続を介して会社のネットワークに接続することを推奨してください。4G(またはドングル)を介してインターネットに接続するのもよいでしょう。サービスプロバイダーに適切かつ安全に接続することができます」
2. あらゆるものをパスワードで保護する
GDPRは、深刻なデータ漏洩が発生した場合、その企業の世界全体の売上高を基準にして最大4%の罰金を科すことができるとされています。ただし、データが適切に暗号化されていたことを証明できれば、罰金の対象とはなりません。
「絶対に破られないセキュリティなど存在しません。NASAでさえ、ハッキングされるのです」と、『EU GDPR Documentation Toolkit(EU GDPR文書作成ツールキット)』(※3)の作者であり、ルーマニアを拠点とするアンドレイ・ハンガヌ氏は述べています。「ただし、強力なパスワードと適切な暗号化ソリューションを使えば、不正ユーザーから個人情報を保護することができます」
多くの企業が、ドライブ本体や保存されているファイルを暗号化するソフトウェアを導入していますが、必ずしもリモートデバイスに適用されているわけではありません。ハンガヌ氏は、ノートパソコンやモバイル機器、個人用のデスクトップパソコンに必要な暗号化ソフトウェアを導入することを勧めています。そうすれば、ユーザーは暗証番号やパスワードを設定するだけで、暗号化されたデータにアクセスしたり、読み取り可能な形式に変換したりすることができます。すべての従業員が、あらゆるデータをパスワードで保護することを習慣にすることが必要なのです。
3. 感染を防ぐ
ウイルスやマルウェアの攻撃によって、データの収集や追跡が実行される場合があります。したがって、こうした攻撃も、GDPRの規定の対象となります。Commvault(※4)のEMEAソリューションマーケティング担当ディレクターであるナイジェル・トーザー氏は、次のように述べています。「マルウェアの防御は非常に困難なのですが、ほとんどの企業が、実際に攻撃を受けるまで、その事実に気づこうとしません」トーザー氏は、従業員のデバイスを、最新OSとウイルス対策ソフトによって確実に保護することを勧めています。
「組織のセキュリティ対策において、人こそが最大の弱点です。たった1人の従業員が不正リンクをクリックしたり、システムの更新を怠ったりするだけで、壊滅的な結果をもたらす可能性があります」と、アンディ・ケイズ氏も述べています。「そのため、従業員の研修を定期的に行い、サイバーセキュリティのリスクに対する認識を高めることが重要です。特に、様々なデバイス、場所、ネットワークから企業のデータやサービスにアクセスする、リモートワーカーに対する研修を実施すべきです」
また、IT担当部署との定期的な会合を設定するのもよいでしょう。従業員が自分のモバイルデバイスを持参し、定期的にセキュリティチェックやアップデート、アップグレードを実行する場とするのです。
あなたの組織には、従業員の外出中におけるデータ保護の戦略がありますか?
4. ビジュアルセキュリティに注意する
法廷弁護士であり、Briefed GDPR Training and Consultancy Specialists(※5)のCEO(最高経営責任者)を務めるオーラ・ケリー氏は次のように述べています。「テクノロジーが進んだ世界では、ローテクな手法で企業データを盗めることを忘れてしまいがちです」
3Mが行った実験では、覆面ハッカーが他人の画面を盗み見る「ショルダーサーフィン」によって、88%という割合で機密情報を入手できたとしています(※6)。
「従業員に対し、オフィス以外で仕事をする際は、他人に情報を見られてしまうことについて注意喚起すべきです」とケリー氏は述べています。画面に貼り付けることで、他人が横から画面を盗み見るのを防ぐ、プライバシーフィルターの支給を考えてみてもよいかもしれません。
5. クラウドの限界を理解する
Ponemon Instituteの調査によると、クラウド環境に保存されている企業データのうち44%は、IT担当部署による管理や制御が行われていないとしています。また、その結果、クラウドサービスを利用することで、2,000万ドル相当のデータ漏洩が発生する確率が3倍に増えるとしています(※7)。
「適切なクラウド事業者を選ぶことが非常に重要です」とナイジェル・トーザー氏は述べています。「事業者がデータ漏洩にどのように対応するのか、正確に把握しておく必要があります。双方に責任が生じるからです。すべてのデータがEU内に存在するのであれば、クラウド事業者は、法的要件に適合する方法でデータを保持しなくてはなりません。また、EU域外にデータがある場合も、GDPRに従って適切に保護されるかどうか、チェックすべきでしょう」
トーザー氏は、GDPRに関して言えば、クラウド事業者がデータの「処理者」、企業が「管理者」になると指摘しています。「(つまり)企業側の責任において、クラウド事業者の信用度をチェックし、GDPRに準拠した適切な技術的、組織的な保護対策の導入が十分に保証されていることを確認しなくてはならないのです」
6. 従業員のプライバシーを尊重する
リモートワーカーの生産性を監視するツールやテクノロジーを使っている場合、企業の意図と従業員のプライバシー保護をどのように整合させるか検討する必要があると、DMPC Ltd(※8)のGDPRコンサルタントであるジョージ・ハリス氏は指摘しています。「通常のビジネスシーンにおいて、(従業員を監視することを)正当化することは難しいのです」とハリス氏は述べています。
GDPRの規定の下では、プライバシーを侵害することなく、従業員のデバイスを(キー入力のログやマウストラッキングの技術を通じて)監視するのは、非常に難しい作業となってきます。GDPR第29条作業部会によれば、「コミュニケーションを監視するテクノロジーは、(中略)従業員による組織化、労働者会合の開催、内密のコミュニケーションといった基本的権利(情報を入手する権利を含む)に対し、萎縮効果をもたらす可能性がある(※9)」としています。
7. データ漏洩に対する行動計画を策定する
サイバーセキュリティ・データ保護・プライバシーを専門とするJaw Consulting UK(※10)のマネージングディレクターであるジェームズ・ウォーカー氏は、次のように述べています。「データ漏洩は、ノートパソコンへのマルウェア攻撃から、従業員による電車内での業務用携帯電話の置き忘れ、あるいは「CC」と「BCC」を間違えるという従業員の不注意によるメールの誤送信まで、あらゆる場面で発生する可能性があります」
データ漏洩が発生した際に、最初に思いつくのは被害対策の手順を進めることですが、GDPRが施行されると、より迅速に対応することが必要となります。「データ漏洩が発生した場合、組織は72時間以内に、影響を受けた個人と適切な監督当局に通知しなくてはなりません。その際、漏洩によって生じ得る事項の分析と、その悪影響の軽減のために実施された、または実施予定の対策についても報告する必要があります」とウォーカー氏は述べています。
記事の前半で、売上高の4%に相当する罰金について言及したのを覚えていますか?GDPRに準拠しないと、それだけ大きな問題となり得るのです。「データ漏洩によって個人の権利と自由が侵害される恐れが低いことを証明できれば、この詳細な通知手順を実施する必要はありません」とウォーカー氏は述べています。「データを適切に暗号化していたと証明することは非常に効果があり、データ漏洩のようなインシデントを報告する義務を回避できる可能性もあります」
出典:
(※1)https://datacomply.co.uk/
(※2)https://www.redscan.com
(※3)https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(※4)https://www.commvault.com/
(※5)https://www.briefed.pro/
(※6)https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(※7)https://www.ibm.com/security/data-breach
(※8)http://dmpc.ltd.uk/
(※9)https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(※10)https://www.jawconsulting.co.uk
