どのような業種であれ、企業はデータを収集し保存しています。しかも、そのデータ量は非常に多くなっています。収集しているデータの種類や収集対象者ごとに数え切れないほどのポリシーや基準があり、そして機密データを確実に保護し、業種や所在地に対して適用されるあらゆる法令や基準を遵守し続けるためのベストプラクティスも無数にあります。
データコンプライアンスとは?
では、そもそもデータコンプライアンスとは何でしょうか。簡単に言えば、データの収集、保管、使用、共有に関わる法令、規制、基準、ポリシーを遵守する義務全般を指す包括的な用語です。これらの法はデータセキュリティ、データ侵害、データ保護などに関連します。コンプライアンス基準を遵守できなければ、罰金やペナルティを科されるおそれがあるほか、自社の評判を損なうことにもなりかねません。では、データ保存に関するベストプラクティスからいくつかの基本的な実践を見てみましょう。
法律上の複雑な問題はさておき、あらゆる機密情報と個人データを安全に保護することがまず肝要です。これについて、順を追って見ていきましょう。
ステップ1:データの棚卸しを実施して、収集しているデータの種類、保存場所、アクセス権を持つユーザー、使用状況について正確に理解する。
ステップ2:データの棚卸しによって把握したデータに関連する潜在リスク、および保有データに適用される適用法と基準を特定する。
ステップ3:不正アクセス、不正使用、漏洩、改ざん、破壊などからデータを守るために、暗号化やアクセス制御、定期的なセキュリティ監査などの適切なセキュリティ対策を実施する。
ステップ4:インシデント対応およびセキュリティ侵害通知計画を策定し実施する。
ステップ5:従業員に対して、データコンプライアンス指針全般に関する教育を実施する。
ステップ6:定期的にデータセキュリティとコンプライアンス手続きを監査し、法や基準の変更に合わせて更新する。
データ保護責任者(DPO)を任命して、データコンプライアンスの指針や手続きを監督し、保有データに適用される可能性のあるすべての適用法と基準の動向を確認する責務を明確にすることも効果的な施策です。
ステップ2は簡単に見えるかもしれませんが、おそらくかなり大変な作業となります。さまざまな種類のデータに適用される、非常に数多くの法や基準があるからです。米国では、たとえば以下のようなものです。
医療保険のポータビリティとアカウンタビリティに関する法律(HIPAA)—保護対象保健情報(PHI)のプライバシーおよびセキュリティに関する規制
児童オンラインプライバシー保護法(COPPA)—13歳未満の子どもの個人情報の収集に関する規制
家族教育権とプライバシー法(FERPA)—教育情報の収集および共有に関する規制
公正信用報告法(FCRA)—消費者の信用情報の収集、使用、共有に関する規制
グラムリーチブライリー法(GLBA)—金融情報の収集、使用、共有に関する規制
カリフォルニア州消費者プライバシー法(CCPA)—カリフォルニア州居住者の個人情報の収集、使用、共有に関する規制(自社の所在地がカリフォルニアではなくても適用される)
EU一般データ保護規則(GDPR)—欧州連合(EU)加盟国に住む市民から収集した個人情報の保護に関する規制(事業所在地がEU域内でない場合も適用)
連邦情報セキュリティマネジメント法(FISMA)—政府機関情報とシステムのセキュリティに関する規制
データ関連法以外にも、多くの企業が準拠しなければならない業界基準が数多くあります。
SOC2/SOC3—サービス提供組織のシステムのセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する報告基準
ISO 27001—企業の機密情報を管理する情報セキュリティマネジメントに関する国際規格
HITRUST CSF(Health Information Trust Allianceの共通セキュリティフレームワーク)—米国保健福祉省が認定した、電子化された保護対象保健情報(PHI)に適用されるHIPAA規制に準拠するための認定フレームワーク
米国国立標準技術研究所のサイバーセキュリティフレームワーク(NIST CSF)—サイバーセキュリティリスク管理のガイドラインを提供する任意のフレームワーク
PCI-DSS—クレジットカード情報の受付、処理、保存、伝送を行うすべての企業を対象とした、データの安全性を確保するための基準
もう、圧倒されてしまいそうですか。無理もありません。皆様がビジネスのために収集し保存しているデータはおそらく、ここで紹介した1つあるいは複数の規制の対象になるでしょう。では、次にすべきことは何でしょうか?
最も確実な方法は、適用されるすべてのデータコンプライアンスに関わる法に精通した専門家の助けを求め、ステップ1から始めて、保有データに適用される基準の認定を受けることです。システム上にどのようなタイプの機密データがあるか、保存場所はどこか、誰がアクセス権を持っているかをRubrikが特定することで、企業のデータ監査を支援し、リスクの低減を図ることができます。Rubrikは、医療、金融サービス業界などさまざまな業種の広範な専門知識を駆使して、この取り組みにおけるあらゆる段階で皆様の組織を支援することが可能です。Rubrik Security Cloudは、皆様のデータそして企業を保護するゼロトラストデータセキュリティを実装しており、最高水準のデータコンプライアンスおよびセキュリティの維持確保を支援します。