その他
GDPRでデータ保護需要が爆発? DLPに商機を見込む――シマンテック
2018/01/11 09:00
週刊BCN 2018年01月08日vol.1709掲載
GDPRの施行が迫る
GDPRとは「General Data Protection Regulation」の略称で、EU居住者の個人データの移転と処理に関して定めた法律。1995年に制定された「データ保護指令」をより強化したものだ。データ保護指令では、EU域内で取得した個人データの域外への移転を原則禁止するなどの要件が定められている。しかし、同指令を受けて各加盟国が制定した国内法の内容は整合性がとれておらず、企業活動において支障が出るなどの問題が発生していた。
そこで、欧州委員会がルールの統一化に向けて、16年4月制定したのが「一般データ保護規則」と呼ばれるGDPRだ。データ保護指令と置きかわるかたちで、18年5月25日に発効を予定。各加盟国における個人データ保護法も廃止となる。
GDPRでは、EU居住者の個人データを扱うすべての企業が適用対象となることが特徴だ。つまり、EU域内に拠点をもたなくても、EU域内の個人に対して商品・サービスを提供し、個人データの管理または処理を行う企業は、GDPRを遵守しなければならないことになる。日本企業にも影響を与えるとされるのはこのためで、違反すると最大2000万ユーロ、もしくは全世界売上高の4%のいずれか高い方を支払わなければならないという、多額の制裁金が課される恐れがある。
データの棚卸が急務に
GDPRでは、個人データに対する強力な管理体制とそれに対する説明責任、個人情報の不正アクセスや改ざんを防ぐための措置、データ保護責任者(DPO)の設置などを企業に求めている。個人データの扱いについて、厳格な管理体制を確立することが義務付けられているということだ。国内では昨年5月に改正個人情報保護法が施行されたが、GDPRはEU版の個人情報保護法であるといっていい。個人情報保護法の改正も、EUからの「十分性認定」取得を目指すことが背景にあるとされる。だが、シマンテックの高岡隆佳・セールスエンジニアリング本部エバンジェリストによると、「こうしたバックグラウンドがそもそも認識されておらず、改正個人情報保護法にも多くの企業が対応できていない状態」だという。
高岡隆佳 セールスエンジニアリング本部 エバンジェリスト
二つの規制によって、対象となる企業がまず行うべきことは、データの棚卸だ。高岡エバンジェリストは、「要配慮個人情報、あるいはGDPRに抵触するようなデータがどこに含まれているのか、しっかり把握できないと、GDPRが求めるところの説明責任を果たせない。しっかりとデータの所在を把握したうえで、しかるべき技術的な安全管理措置をとる必要がある」と指摘。さらに、「昨今はどちらかというとサイバーセキュリティ対策にセキュリティ予算がとられる傾向があったが、今後は内部統制やデータガバナンス、アクセス制御などへの投資も増えていくだろう」と予測しているという。
そこで、シマンテックでは、GDPRへの対策として、DLPの提案に力を入れている。実際に、昨年末頃からニーズが顕在化してきており、「調査会社IDC Japanの調査でも、DLPの市場規模は成長傾向にあると予測されているが、当社でも16年末頃から、DLPの売り上げが大きく伸びている」と高岡エバンジェリストは話す。
DLPは、機密情報の外部持ち出しを制御する情報漏えい対策製品。グローバルでは、シマンテックがリーダーとして地位を確立している製品でもある。同社のDLPを活用することで、データの棚卸により機密データの所在を把握することが可能だ。GDPR用のテンプレートもあらかじめ製品に組み込んでいることから、手間のかかるデータ検出ルールの作成を省力化できる。オンプレミスだけでなく、モバイル、クラウドまでポリシーを適用することで、データの一元管理と可視化、自動制御を実現可能だとしている。
かつてのDLPの不安を払拭
ただ、DLPは過去、導入がそれほど進まなかった製品でもある。「かつて日本企業のDLP導入に対するモチベーションが高かったのは、個人情報保護法施行のとき。当時はキーワード検出のロジックしかなく、かなり精度が粗かったので、誤・過検知が多く発生するなど、運用負荷が高かったことから導入が進まず、日本はDLPに対してトラウマをもっている」と高岡エバンジェリスト。しかし、「いまは、データの形状・分類に応じて、さまざまな観点からデータを確実に捉えることが可能なロジックを実装している。また、クラウド連携や自動暗号化、認証を含め、単純なDLPでは終わらない機能を提供している。オンプレミスからクラウドまで横断的にポリシーを適用できることも強みだ」と、かつてのDLPとはすでに異なる製品であることを強調する。シマンテックでは、データ保護体制の確立支援にあたって、17年の改正個人情報保護法施行、18年のGDPR施行、20年の東京五輪開催に向けた3年間のロードマップを描いている。まずは、企業内の機密性の高い個人データに関するDLPのリスク検出、企業が活用している業務アプリケーション上の個人データの活用状況を可視化するシャドーデータのリスク評価のアセスメントで、企業の対策範囲策定をサポートしていく方針だ。
- 1