GDPRに対する準備はお済みですか? 

EU全体における統一されたデータ保護の枠組みであるGDPR(一般データ保護規則)が、2018年5月25日から施行されます。 GDPRは、EU域内へ 商品やサービスを提供したり、EUに居住する市民のデータを取り扱う日本企業にも適用されるため、EUに拠点がなくても注意が必要です。
IBM セキュリティーでは、1. 評価、2. 設計、3. 構築、4. 運用、5. 管理・監査という5つのフェーズで構成されるフレームワークを定義。各フェーズでプライバシー要件、セキュリティー要件それぞれの視点から、主要な活動を 洗い出し、GDPR対応を支援しています。

GDPRに関連するブログ記事を読む


IBMセキュリティーGDPRフレームワーク:5つの対応ステップ

評価

プライバシー要件

評価準備:

  • GDPRの条項に基づき評価を実施、GDPRへの対応方針を文書化する
  • 個人情報に関する本人の権利(同意、アクセス、修正、削除、移転の権利)を評価する

データと関連システムの特定:

  • 個人情報データと、関連するシステムを特定、分類する
  • アクセス・リスクを特定し、システム構想段階から個人情報保護をサポートする

セキュリティー要件

評価準備:

  • 現在のセキュリティー状況を評価、ギャップを特定、成熟度の分析、準拠のロードマップを作成する
  • 脆弱性を特定し、システム構想段階から個人情報保護をサポートする

データと関連システムの特定:

  • セキュリティー管理を設計するために、個人情報データと、関連するシステムを特定、分類する

設計

プライバシー要件

ロードマップの策定:

  • GDPR対応計画を策定する

プライバシー・バイ・デザイン:

  • 対応規則、ビジネス・プロセス、システムを設計する
  • GDPRのリファレンス・アーキテクチャー(一般的な用途とそれに対応する典型的なシステム構成)を作る
  • 管理者や処理者のガバナンス状況を評価する

セキュリティー要件

ロードマップの策定:

  • セキュリティー対応計画を策定する

プライバシー・バイ・デザイン:

  • セキュリティーのリファレンス・アーキテクチャー(一般的な用途とそれに対応する典型的なシステム構成)を作る
  • リスクに対して、適切な技術的/組織的対応方法を設計する(暗号化、偽名化、アクセス制御、監視など)

構築

プライバシー要件

プロセスの変革:

  • 対応方針、ビジネス・プロセス、システムを実装する
  • 個人情報に関する本人のアクセスリクエストを自動化する

セキュリティー要件

保護:

  • プライバシー強化対応を導入する(暗号化、トークン化(ランダムな数列への置き換え)、動的マスキングなど)
  • セキュリティー管理を導入する(アクセスリスクと脆弱性に対応し、軽減する)

運用

プライバシー要件

GDPRプログラムの管理:

  • 情報ライフサイクル管理(情報の重要度や特性、利用頻度などに応じた、データの移動と配置)など、データ管理の対応策を運用する
  • 個人情報に関する本人の権利(同意、アクセス、修正、削除、移転の権利)対応などの、GDPR準拠プログラムを管理する

プログラムの実行:

  • 個人情報のアクセスを監視する
  • 役割とアイデンティティーを管理する

セキュリティー要件

セキュリティー・プログラムの管理:

  • リスク評価、役割/責任分担といったセキュリティー対応策を導入、管理する

プログラムの実行:

  • セキュリティー監視、インシデント検出、脅威への対応を実施する
  • 情報漏えい/データ侵害対応、インシデント分析と証拠保全を行う

管理・監査

プライバシー要件

実証:

  • 本人のデータアクセス、修正、削除、移転を含む、個人情報データ・アクセス監査証跡の記録
  • 処理ガイドラインの提供、データ処理のトラッキング、監査証跡の実施、本人のアクセス要求への準備を含む、データ処理者/管理者ガバナンスの運営
  • コンプライアンス・プログラムの文書化と管理(GDPR対応のモニタリング、アセスメント、評価とレポーティング)

対応:

  • 規則違反への対応と管理

セキュリティー要件

実証:

  • 技術的、組織的なリスク対応プロセスの実施
  • セキュリティープログラムの文書化(セキュリティー対応のモニタリング、アセスメント、評価とレポーティング)

対応:

  • 規則違反への対応と管理

「IBMセキュリティーGDPRフレームワーク」のそれぞれのステップに記載されているように、GDPRにはさまざまな対応が必要となります。

すでにGDPR対応を始めている企業も、そうでない企業も、セルフ・チェックを実施して、まずは自社のGDPR準備状況を確認してみませんか。質問に回答していただくと、GDPRの準備状況評価レポートとTo-Doリストが作成されます。

最新情報・セミナーのご案内

Webセミナー

GDPR施行間近!今必要とされる包括的なデータ・アクセス管理とその運用

IBMセキュリティーが提供する主なGDPR対応サービス/製品

[評価]

IBM GDPR Readiness Assessment

GDPRの対応準備状況を評価するセキュリティー ・コンサルティング・サービス

[設計] [実装] [運用] [管理・監査]

IBM Security Consulting Services

幅広い専門知識と豊富な経験にもとづき、セキュリティー戦略の立案や施策の推進を支援するコンサルティング・サービス

[設計] [実装]

IBM Security Identity Manager

複数のIT環境における、ユーザーIDやアクセス権管理の統合ソリューション

[設計] [実装]

IBM Security AppScan

アプリケーション・セキュリティーのぜい弱性テストを自動化するソリューション

[設計] [管理・監査]

IBM Security Guardium GDPR Accelerator

データベース・セキュリティーのためのプラットフォーム「IBM Security Guardium」に付加したGDPR対応機能群

[実装]

IBM Security Key Lifecycle Manager

暗号鍵管理の一元化、簡略化、自動化ソリューション

[実装]

IBM Multi-Cloud Data Encryption

クラウドやハイブリッド・クラウド環境でファイルとボリュームのデータを暗号化するソリューション

[運用] [管理・監査]

IBM Critical Data Protection

戦略上最も重要な情報を不正アクセス、公開、盗難から保護するための包括的なアプローチを提供するサービス

お問い合わせ

與久田 健次與久田 健次

與久田 健次 (よくだ けんじ)
デジタル・セールス事業 RLM第一営業部
IBM MaaS360 with Watson に関するご質問、お見積りは、お気軽にお問合せ下さい。

「EUの一般データ保護規制」の遵守を保証するのはお客様の責任とさせていただきます。 お客様のビジネスに影響を与える可能性がある関連法および法的要求事項の確認と解釈、並びにかかる法を遵守するためにお客様がとる必要のある措置に関し て、弁護士の適切な助言を得ることはお客様のみにかかわる責任とさせていただきます。ここに記載された製品、サービス、その他の機能は、すべてのお客様の状況に適しているわけではなく、利用が制限される可能性があります。IBMは法律上、会計上、または監査上の助言を提供することはいたしません。また、 IBMのサービスまたは製品が、お客様がいかなる法規も遵守されていることの裏付けとなると表明するものでも、保証するものでもありません。IBM自身のGDPR対応への行程と、企業のコンプライアンス実現への行程をサポートするIBMのGDPR機能およびオファリングに関する詳細情報はこちらをご覧ください。