GDPR(EUデータ保護規則)は、日本の企業であっても条件に該当する場合は遵守しなくてはいけない法律です。
ではGDPR(EUデータ保護規則)は、具体的にどんなことを企業に求める法律なのでしょうか?
規則内で特に強調されている点を紹介しましょう。
GDPR(EUデータ保護規則)は“セキュリティ侵害の防止”を強く求める法律
GDPR(EUデータ保護規則)は、不正アクセス等のセキュリティ侵害を防ぐことを強く企業に求める法律です。
具体的にどんな防止策が推奨されているのか、1つ1つ確認していきましょう。
データの暗号化
GDPR(EUデータ保護規則)では、個人情報へのアクセスを難読化するための技術としてデータの暗号化が強く推奨されています。
もしセキュリティ侵害の被害に遭っても、データの暗号化がしっかりされている場合は企業がデータ主体へ報告をする必要がありません。
よって企業はデータを暗号化することでセキュリティ体制を強化出来る上に、報告を行うためのコストも削減出来るのです。
データの匿名化
データの匿名化も、暗号化と同じくデータを難読化するための中核を担う技術として推奨されています。
データ自体から個人情報や実態が特定出来なくなるため、意図的であれ偶発的であれ、個人情報の漏洩リスクを減らせる方法として有効です。
アクセス権限のあるユーザーのアクセス制限
GDPR(EUデータ保護規則)には、例え企業の個人情報へのアクセス権限があるユーザーであっても、アクセス制限を設ける必要があると記載されています。
アクセス権限のあるユーザーにアクセス制限を設けることで、もし内部からのセキュリティ侵害が発生した場合でもすぐ攻撃をストップさせることが出来ます。
ファイングレイン・アクセスコントロール
ファイングレイン・アクセスコントロールとは、アクセス権限のあるユーザーに対して全てのデータに権限を与える訳ではなく、特定の情報にしか権限を与えないことを言います。
先ほどのアクセス制限と合せて採用することで、もしセキュリティ侵害によるトラブルが発生した場合でも、被害を最小限に抑えることが出来ます。
GDPR(データ保護規則)には、ファイングレイン・アクセスコントロールの必要性について「個人情報へのアクセス目的を細分化し、リスクを軽減するため」という風に記述されています。
データサイズの最小化
GDPR(EUデータ保護規則)では、個人情報のデータサイズを最小化することで、コンプライアンス境界を出来る限り小さくすることが推奨されています。
またデータの管理者に対して、個人情報の取り扱い・共有を必要以上に行わないことが求められています。
まとめ
GDPR(EUデータ保護規則)は、様々な角度から個人情報の重要性を説き、その対策を企業に提案し行動を求める法律です。
今回紹介した内容はほんの一部で、セキュリティ侵害防止のための監視体制やデータ保護の品質などに関して様々な案がGDPR(EUデータ保護規則)では提案されています。
該当企業はGDPR(データ保護規則)という重要な法律を守りつつ、高いセキュリティ体制を持つ企業と認められる“第三者認証マーク”の取得などを目指すべきでしょう。
