この記事は、セキュリティ&トラスト オーガナイゼーションのバイスプレジデント Michelle Dennedy によるブログ「GDPR, Cisco and You」(2017/6/30)の抄訳です。
EU の一般データ保護規制(GDPR)が施行される 2018 年 5 月 25 日まで、あと 1 年を切りました。これが施行されると、EU 加盟国、および EU の個人データを処理するすべての国で、莫大な罰金が課せられたり多額のデータ処理コストが発生したりする可能性が生じます。
GDPR は、EU 各国でそれぞれのデータ保護法が適用されている既存の状況を改め、長い間期待されていた欧州統一データ保護を実現するものです。基本的に、GDPR では、透明性、公平性、説明責任といったプライバシーの原則が、法制度として明確に具体化されています。また GDPR では、個人の権利を尊重しながらイノベーションと世界のデジタル エコノミーへの参加を実現する、リスクベースのアプローチも導入されようとしています。それはとても素晴らしいことだと思います。
デジタル エコノミーが繁栄できるのは、ヒト、プロセス、データ、モノを倫理的・有意義・安全な方法で接続できる場合のみであると、シスコは考えています。その条件には、誰もが簡単にビジネスを行えたり自分のデータが保護されていることを認識できたりする環境を構築することも含まれます。シスコは、個人データの取得先や扱い方にかかわらず、個人データを尊重して保護することにより、お客様やパートナーの支援に努めています。
GDPR に対するシスコの対応
シスコは、次の方法で GDPR に対応しようとしています。
業界をリードするシスコのデータ保護プログラムには、次の内容が含まれています。
ポリシーおよび標準:個人データ ライフサイクルを定義し、データの透明性、正確性、アクセシビリティ、完全性、セキュリティ、一貫性を確保するための、標準およびプロセスを構築します。
特定、分類、マッピング:データの一覧を作成してマッピングし、所有データ、その処理目的、所在、フロー経路、アクセス可能ユーザを特定します。コンテキストにおけるリスクと秘密度に基づいてデータを分類します。そのリスクは、データまたは個人によってもたらされます。シスコでは、罰金の回避を考慮しながら、処理の結果と目的に重点を置くことが、より包括的で詳細なリスク プロファイルの策定につながると考えています。
データのリスクと組織の成熟度:リスクを理解することと、処理対象となる固有のデータ セットごとに脅威モデリングを実施することに、重点を置きます。業界のベンチマークと比較して、リスク、強み、機会を評価して成熟度を把握します。業界のベンチマークがない場合は、シスコが評価基準をデザインします。
インシデント対応:シスコのビジネス継続プロセスと一体化した、企業全体でのデータ インシデント対応プロセスを導入します。
監視および実行:一元化されたデータ保護ガバナンス モデルを導入し、ポリシーと標準の遵守を監視、モニタリング、実行します。これには、第三者による管理、ベンダーの監視、モニタリング、監査、修正などが含まれます。
設計またはデフォルトに基づくプライバシーおよびセキュリティ:シスコ セキュア開発ライフサイクルを通じて、データ保護、プライバシー、セキュリティに関する要件を製品設計や開発方法論に統合します。構想段階からリリース、検証段階に至るまで、開発サイクル全体にプライバシー要件を組み込みます。つまり、プライバシー エンジニアリングの技術を、評価や優れた製品開発に活かし、設計ポリシーおけるプライバシーを活動に結びつけ、実際の改善につながるようにします。
- 国境を超えた転送
- シスコは、EU およびスイスから国境を越えて個人データを収集、使用、処理、転送することに関して米国商務省が定めた、EU-米国間およびスイス-米国間のプライバシー シールドのフレームワークに基づく認証を得ています。さらに、EU 全体でのシスコの Binding Corporate Rules(拘束的企業準則)に対する承認も申請中です。
また、EU 内から EU 外への個人データ転送を許可する標準契約条項を含むクラウド サービスに関して、クラウド サービスに関する EU データ処理追補を一般公開しています。
- 第三者による監査および認定
- シスコおよびシスコのお客様を保護する責任を確実に遂行するために、製品やサービスに対して第三者による複数の認定を受けています。たとえば、Cisco Webex は、ISO 27001 認定を取得し、SSAE-16, SOC2 報告書を受領しています。また、シスコのグローバル サービス ビジネス全体に対して ISO 27001 の認定を受けています。これらの認定によって、お客様は、シスコがお客様のデータ保護を実施していることを確信できます。
GDPR への対応準備としてできること
個人データを完全に保護するには、データの状況(保存中、使用中、または転送中)にかかわらず、収集しているデータの内容、収集方法、処理目的、処理の実施者/場所、保護方法を把握する必要があります。
GDPR への対応準備としては、次のような対策をお勧めします。
マッピング:会社全体で個人データの一覧を作成し、マッピングします。特に、「処理実施者」(管理者する人、 構築する人、 アクセスする人、修正する人、 削除または返却する人)に注意します。 「処理目的」によって戦略が決まります。「処理実施者」によって、戦略が企業文化に組み込まれ、データ保護が説明責任プロファイルに組み込まれます。
評価および管理:データの利用とアクセスに関するリスク、強み、機会を評価し、ガバナンスを確立します。
セキュリティ対策:脆弱性やデータ漏洩に対する防止、検出、対応を実現可能なセキュリティ対策を実施し、個人データを保護します。「不正な攻撃者」だけでなく、不注意やミスに対する対策も実施します。
意識の向上:データ漏洩の報告を含め、自社とお客様それぞれの個人データの保護に組織内の全員を関与させることで、セキュリティとプライバシーを重視する文化を形成します。データ保護の義務は、ネットワーク全体を流れる通貨であるかのように、普遍的に広まっています。常に認識を新たにすることが不可欠です。
GDPR への準備プロセスに参加する
お客様のセキュリティ、信頼性、プライバシー、復元力をサポートするための継続的な取り組みの一環として、シスコは、お客様データの保護に取り組んでいます。GDPR に対応するお客様独自の取り組みを支援するために、来年も引き続きシスコのプロセスを共有していきます。シスコの態勢は整いました。一緒にがんばりましょう。
シスコの GDPR 対応の詳細については、Trust Center を参照してください。
1 コメント
CiscoのGDPR対応の日本語ページをご用意しました。是非リンクをご参照下さい。