EU GDPR 順守において Microsoft EMS でできること – パート 1

  • Article

このポストは「How Microsoft EMS can support you in your journey to EU GDPR compliance – Part 1」の翻訳です。

 

皆様、こんにちは。

これまでに皆様のほとんどが EU の新しいデータ保護法である GDPR について (少なくとも) 耳にされたことがあると思います。GDPR とは、General Data Protection Regulation (EU の一般データ保護規則) のことで、端的に言うと、不正使用の可能性から個人データを保護することを目的としたものです。マイクロソフトの最高プライバシー責任者である Brendon Lynch は自身のブログ記事で、「この新しい一般データ保護規則は、欧州連合のプライバシー法に対する過去 20 年間で最大の変更となる」と述べています。2018 年 5 月 25 日に GDPR の施行を迎えるにあたり、Microsoft Enterprise Mobility + Security (EMS) 製品が皆様の GDPR への準備に役立つと当社が考える理由について、今回から一連のブログ シリーズで説明します。

 

マイクロソフトは、社内で GDPR への準拠を進めると同時に、皆様の GDPR への取り組みに当社のテクノロジをご利用いただける方法を示すガイダンスも提供してまいります。たとえば、ホワイトペーパー『Beginning your GDPR Journey』(GDPR への準拠に向けた取り組みの開始) では、皆様が今すぐ始められる 4 つの主要ステップについて概説しています。各ステップはそれぞれ、”検出” (皆様の保有データのうち、GDPR の適用範囲に含まれるものを検出する)、”管理” (個人データの用途とアクセス方法を統制する)、”保護” (脆弱性とデータの侵害の防止、検出、および対応を行うためのセキュリティ制御を確立する)、および ”レポート” (必要なドキュメントを保管し、データへの要請に対応して、侵害通知を提供する) です。このアプローチの中心となるのがデータであり、ここで EMS がお役に立ちます。今回の記事では、このあたりについて詳しく説明したいと思います。

GDPR は、構造化データ、ログ データ、非構造化データを問わず、皆様が保有されているすべてのデータ クラスをカバーするものです。どのクラスにも課題はありますが、データが構造化されているほど問題領域もより構造化されるため、課題が明らかになると言えるでしょう。便宜上、今回の記事では、そのような構造化データ ストアへの対処方法については、皆様はより良く理解されていると仮定します。


ログ データ ストアもある程度構造化されていますが、より複雑さが増します。なぜなら、セキュリティに関するログには、法令遵守の目的で保有期間が規定されていることも多いためです。皆様がこの状況に該当する場合、各ログの種類について御社の法務部門と慎重に見直されることをお勧めします。IT 部門がセキュリティ関連のログを "明示" するだけでは、御社が準拠していると判断するには不十分です。GDPR に伴う罰金のリスクを考えれば、これは多大なコストにつながるミスとなり得ます。

非構造化データについては、状況はますます困難になるばかりです。これまで当社の情報保護の取り組みを見守ってきてくださった皆様なら、きっとおわかりいただけるでしょう。要するに、ほとんどの組織が、すべてのデータをオンプレミスで保存している状態から、多くの場合は "制御不可能な" 状況へと陥り、データが他のユーザーと共有され、電子メールで回覧され、外部ベンダー (法務、マーケティング、人事など) に提供されるようになっているということです。いわゆる "役立つデータは旅に出る" という状況は、ほぼ間違いなく問題をもたらす原因となります。GDPR が個人データや機密データを保護する唯一の理由となるわけではなく、このようなデータはだれもが保有していて、保護する必要があると言えるのです。

GDPR の狙いは、そうした保護が早期に実現されるように期限 (とコスト) を定めることにあります。皆様は既にデータを保護する手段をお持ちですが、今すべきことは、現在のアプローチを見直し、業界のベスト プラクティスに従っていることを確認する作業に一層重点を置くことです。

とはいえ、マイクロソフトもまったく同じ課題を抱えており、状況は皆様と同じです。

では、準備を整えるために何をすればいいのでしょうか。この疑問に答えるには、まずデータのライフサイクルを明らかにして、そのライフサイクル全体でいくつかのシナリオを通じて当社がいかに皆様のデータを保護できるかを説明する必要があるでしょう。データの作成時や変更時から、ユーザーによるデータへのアクセス時、モバイル アプリやクラウド アプリへのデータの移動時、さらには侵害の発生時に至るまで、私たちが講じるべき防御手段を検討しなければなりません。

本ブログ シリーズでは、EU GDPR への準拠に向けたこの取り組みで Microsoft EMS の各ソリューションがいかに皆様をサポートできるかについて、次の主なシナリオに沿って順番に説明します。

  • オンプレミスとクラウドで永続的なデータ保護を提供する方法
  • データへのアクセス権の付与と制限を行う方法
  • モバイル デバイスやモバイル アプリケーションのデータを保護する方法
  • クラウド アプリのデータに対して可視性と制御を確保する方法
  • 損害が発生する前にデータ侵害を検出する方法


これらの異なるユース ケースで EMS テクノロジが皆様のお役に立つ理由を説明した後は、試用と展開プログラムを開始するためのリソースをご紹介します。また、既に EMS をお持ちで、展開の支援を必要とされる場合は、当社の FastTrack プログラムのサポートをご利用いただけます。

本シリーズの次回の記事では、Azure Information Protection を使ってオンプレミスとクラウドで永続的にデータを保護する方法について説明する予定です。それまでに、これらの製品の詳細や GDPR 法の詳細を必要に応じて確認されることをお勧めします。

以下の資料をご活用ください。

 

では、次回の記事もどうぞご期待ください。
Dan Plastina