GDPRとは?
一般個人情報保護規制(GDPR)法はEUを含む欧州経済領域(EEA)域内、または、EEA域内の個人情報を取り扱う全ての企業が従わなければならない個人情報およびプライバシーを保護する法規制です。サイバー攻撃が近年増大する中、1995年から適用されてきた「EUデータ保護指令(Data Protection Directive 95)」に代わり、市民の個人情報の安全性を確保するために、2018年5月25日に施行されました。
※欧州経済領域 (EEA):EFTA加盟国であるアイスランド、リヒテンシュタイン、ノルウェーとEU加盟28か国を指します。
日本企業がGDPRに準拠する必要性は?
GDPRの適用対象はEEA域内に存在する企業に加えて、EEA域内に存在する個人の情報を取り扱うすべての企業です。したがって、次の条件に当てはまる場合は、日本国内の企業であっても対象となります。また、顧客情報だけではなく従業員の個人情報についても、EEA域内在住者の雇用やEEAへの社員の出張がある場合は、GDPR準拠を求められる可能性があります。
- ● EEA域内に支社や営業所などの拠点がある
- ● ビジネスにおいて、顧客情報などにEEA在住者の個人情報が含まれる
- ● 従業員がEEAに出張する、あるいはEEA域内在住者を雇用する
個人データとは?
GDPRが定義する個人データとは、日本の個人情報保護法にも定められている氏名など個人を特定可能な情報を含む「識別された、または識別され得る自然人に関するすべての情報」を指します。さらに、ブラウザのキャッシュやIPアドレスなどオンライン識別子も含まれます。日本の個人情報保護法が定める個人情報よりも広範なため、個人情報保護法に対応しているだけでは、GDPRに対応できていない可能性があります。
GDPRに準拠しないとどうなるのか?
一部の例外を除き、原則としてEEA域内の個人情報を扱うすべての事業者が基準を満たす必要があります。EEA内に存在する個人情報を扱っているにもかかわらず事業者がGDPRに準拠してない場合、高額な制裁金を科される可能性があります。
十分性認定とは?
2019年1月23日、日本とEUの間で「十分性認定」が発効しました。十分性認定とは、特定の国や地域が個人情報についての保護水準を確保していると認めることです。そのため、EU・日本間で個人情報を移転する場合の手続きが簡素化されるといったメリットがあります。この十分性認定認定はあくまで個人データを移転させる場合の認定であり、個人データの保護に関しては変更ありません。対象となる企業は今後もGDPRに対応する必要があります。
GDPR準拠とは?
EEA域内の個人とビジネスを継続する企業は、GDPRの6原則に従う必要があります。
GDPRの6原則
上記の6原則に加えて、説明責任を果たすことが必要になります。この原則は、企業が持つ個人情報をすべて把握し、そのコントロールを行える体制を構築することが前提になります。
企業はGDPR準拠に向けた取り組みを進めていますが、GDPRは個人情報保護法に比べて対象となる個人情報の種類が広いことに加えて条文の解釈の幅が広いといった特徴があります。その手順は複雑で多くの要件が課されるため、準拠するのは容易ではありません。
ManageEngineの統合エンドポイント管理ソフトDesktop Centralは、「情報の完全性および機密性」を確保する上で重要なエンドポイントのセキュリティを向上させます。サーバー、デスクトップ、ラップトップ、スマートフォン、タブレットを一元管理し、GDPR準拠を維持できるようサポートします。また、エンドポイント管理に付随する社員の個人情報についても、6原則にのっとった適切な管理を支援します。
Endpoint CentralによるGDPR準拠サポート
コンピューター間でのデータ保護
DesktopCentral にはPC管理機能が揃っており、GDPRに準拠した体制構築が容易になります。
パッチ管理機能はサーバー、デスクトップ、ラップトップの脆弱性を早期にアップデートし、不正な侵入を防止します。脆弱性をついた脅威への対策だけでなく、不正ソフトウェアの利用防止、USBデバイスの使用制限、特権ユーザーの制限など、内部の脅威にも対策できます。
モバイルデバイスのデータセキュリティ確保
モバイルデバイス管理機能がデータセキュリティを確保し、 継続的なGDPR準拠を実現します。
従業員がモバイルデバイスで業務を行う際には、会社のデータも移動することになります。
Desktop Centralのモバイルデバイス管理(MDM)機能には、個人データと企業リソースデータを別々に管理する機能や、デバイス紛失時に位置情報を取得する機能、デバイス盗難時にはデータを削除する機能が備わっています。イントラネットから離れている場合でも、従業員の端末内のデータを保護することが可能です。
GDPRへ準拠するには、デバイスの保護以外でも対応が必要です
上記の機能のほか、Endpoint Centralでは フェールオーバーサーバー(*)機能によりサーバーの稼働率を高めることで生産性低下を軽減できます。Desktop Centralサーバーをインターネットに公開させたくない場合は、 DMZ上にセキュアゲートウェイサーバー(*)を配置することで脅威から守ります。
(*)当該機能においては英語圏においてサービスを提供しており、弊社日本法人にてサービスを提供しておりません。
継続的なGDPR準拠への課題
GDPRへの準拠を実現するだけに留まらず、継続することが真の課題です。企業内の個人データの把握、移転・処理・取得についての説明責任を果たすプライバシーポリシーの改訂、責任者と報告手順の明示といった枠組みを構築し、その機能が維持されるよう定期的に確認しなければなりません。
個人情報を保護する具体的な手段として、エンドポイント管理の重要性は変わりません。Desktop Centralは継続的で包括的なエンドポイント管理を実現し、継続的なGDPR準拠をサポートします。
ManageEngineはGDPR準拠に関する資料を作成し、GDPR施行により生じた個人の新たな権利や重要な用語、原則について概要を提供しています。
GDPR準拠の実現とその維持方法については、無料のeブックをダウンロードしてください。
- ● GDPRの原則と権利について
- ● 個人情報を安全に管理し、エンドポイントを攻撃から防御する方法
- ● エンドポイント管理の成功例を応用してGDPR準拠を実現し維持する方法
GDPR準拠に役立つ機能の詳しい説明を無料でご覧になれます。
免責条項:GDPR準拠には多種多様なソリューション、プロセス、人材、技術を要します。上述の通り、エンドポイントセキュリティとその管理がGDPR準拠のための基盤になります。他の適切なソリューション、プロセス、人材と合わせてエンドポイント管理を実施することがITセキュリティの強化に有効です。この資料は参考情報を提供するためのものであり、GDPR準拠のための法的な助言ではありません。ManageEngineはこの資料の記載情報に関して明示的、黙示的、または法的な保証は一切致しません。
※ 本ページに掲載されている製品名、会社名などの固有名詞は各社の商標または登録商標です。Rマーク、TMマークは省略しています。