
多くの組織はいまだに GDPR を法的またはコンプライアンスの要件として捉えています。しかし、GDPR は実際には最も影響力のあるサイバーセキュリティフレームワークの 1 つへと進化しています。GDPR は企業が個人データを保護し、サイバーリスクを管理し、テクノロジー環境全体で業務継続力を構築する方法を構築しています。
現在、組織はランサムウェア、フィッシング、認証情報の侵害、内部脅威、サプライチェーン攻撃など、高度化するサイバー脅威に直面している。金融、医療、小売、製造、エネルギーなど、さまざまな分野で規制当局による取り締まりの強化に伴い、企業は強力なサイバーセキュリティガバナンスとデータ保護対策を実装するよう、圧力が強まっています。
GDPR は、組織に対し個人データを保護するため適切な技術的/組織的対策を実装するよう求めています。この対策には、具体的には暗号化、アクセス制御、監視、実際には、これには暗号化、アクセス制御、監視、耐障害性、テスト、安全なストレージ、インシデント対応計画、継続的なリスク評価などの対策が含まれます。これらの対策は、もはや任意の IT のベストプラクティスではなく、規制上の要件になっています。
この記事では、次のような GDPR の主要なセキュリティ要件を説明します:
- GDPRがサイバーセキュリティチームにもたらす影響
- 第 32 条が日々のセキュリティ対策に与える影響
- 企業がサイバーレジリエンスを強化し、規制違反のリスクを低減する方法
GDPR とはどのようなもので、何を対象にしているのか?
一般データ保護規則 (GDPR) は、EU の個人テータ保護の関するフレームワークです。これは、組織の所在地に関わらず、EU または英国の個人の個人データを処理するすべての組織に適用され、英国版 GDPR として英国法に組み込まれています。
個人データに含まれる情報は、氏名やメールアドレスだけではありません。GDPR 第 4 条では、IP アドレス、デバイス識別子、従業員の人事記録、財務情報、健康データ、位置情報、閲覧操作、生体認証情報などの情報は、識別可能な個人と関連付けられる場合、すべて個人データに該当する可能性があります。
データのカテゴリー中には特に機密性が高く、より高度な保護が必要な情報もあります (第 9 条)。この情報には、医療情報、個人の識別に使用される生体認証データ、政治/宗教的な見解、その他の機密性の高い個人情報が含まれます。GDPR は、個人情報の収集、保存、使用、共有、および削除方法を規定しています。また、個人に対し特定の権利を付与しています。この権利には、自身の情報に関する、データへのアクセス、訂正、消去の権利(「忘れられる権利」とも言う)に加え、データの移行やデータ処理の制限を求める追加の権利などがあります。
サイバーセキュリティ IT チームとセキュリティチームにとって、GDPR はデータ保護とセキュリティ対策に直接関連するため、非常に重要です。組織は、個人データが次の脅威から保護されていることを実証する必要があります:
- 不正アクセス
- 偶発的な情報漏洩
- 盗難
- 破損
- 破壊
- 可用性の喪失
これにより、サイバーセキュリティは純粋な技術的問題から取締役会レベルのビジネスリスクとなり、多額の規制罰金やイメージ悪化に至る可能性があります。
GDPR とその他の EU サイバーセキュリティ規制
GDPRは、業界固有のサイバーセキュリティ規制に代わるものではなく、それらと一緒により広範な規制環境の一部を構成しています。NIS2 指令 や Digital Operational Resilience Act (DORA) などのその他のフレームワークは、重要なサービスの保護や、特定の分野における業務継続力の確保などサイバーリスクのさまざまな側面に対処します。
また、これらの規制は異なるレベルで機能しており、GDPR は個人データの保護を重視し、他の規制はシステムの耐障害性、インフラのセキュリティ、および業界固有のリスクを対象にしています。多くの組織にとって、これはデータ保護を独立した対策として実行するのではなく、より広範なサイバーセキュリティや規制要件と整合させることを意味しています。