Data のプライバシーが世界を席巻しています。 2016 年の EU による一般データ保護規則 (GDPR) の正式化に始まり、2018 年に施行され、相次ぐ執行活動2019 年初めに始まった消費者データのプライバシーの問題は、組織が機密情報を保存および処理する方法に新たな標準をもたらしています。

GDPR は世界的な企業に消費者の個人データに関するビジネス慣行の再検討と根本的な変更を強いるきっかけとなったかもしれませんが、嵐はまだ終わっていません。オーストラリア、ブラジル、日本、韓国など、世界中の法域がデータ保護規制を制定または改正しています。米国では、連邦政府が連邦データプライバシー法の施行に遅れをとっている一方で、州は対策を講じ始めています。

一方、情報セキュリティはさまざまな理由からますます困難になっていることが判明しています。 IT セキュリティ チームに大きなスキル ギャップがあり、ますます巧妙化する攻撃者に対応するために最高情報セキュリティ責任者 (CISO) をサポートするリソースが遅れていること、内部関係者の脅威を阻止することがますます困難になっていることが共通の問題です。

さらに、企業のデータ量は急激に増加し続けています。このマトリックスにより、組織はデータ プライバシー プロセスを運用するための要件と、セキュリティおよびデータ管理プログラムを調和させる際に、どこから始めればよいか分からなくなり、緊張を強いられています。

既存の規制と新たな規制

規制当局は、データ保護法とそれに基づく新しい要件を積極的に施行するための基礎を築いています。これまでの GDPR 準拠の強制措置は、規制当局が組織のセキュリティとプライバシーの姿勢を積極的に監視しており、セキュリティ侵害やインシデントがない場合でも強制措置を取る可能性があることを示しています。

セキュリティ専門家は、適切なプロセスを導入できない組織に対する規制当局の同情が薄れることを予期する必要があります。しかし、裏を返せば、規制当局は、データ ハウスを整備するために誠実に積極的な措置を講じた組織に好意を示す可能性があります。

カリフォルニア州は、正式な消費者データ保護法を制定した最初の米国の州であり、カリフォルニア州消費者プライバシー法が 2020 年 1 月に施行されます。この法律は、カリフォルニア州住民の個人データを広範かつ厳格に保護することを目的としています。年間国内総生産が 2 兆 7,500 億ドルに達するカリフォルニア州の経済規模は現在、世界で 5 番目に大きくなっています。これは、米国市場に何らかのエクスポージャーを持つ企業は州内にデータ フットプリントを持っている可能性が高いことを意味します。施行は州境に限定されるが、この規制は確実に世界的な影響を及ぼし、カリフォルニア州内でデータを処理する組織や州住民に属する組織は遵守する必要がある。

ニューヨークでは、金融サービス省がサイバーセキュリティ規制を施行し、銀行、保険会社、その他の金融機関に対し、サイバーセキュリティの回復力を向上させるための新しいガイドラインに準拠することを義務付けました。この規制に基づき、ニューヨークで事業を行う銀行は、ビジネス ニーズの遂行に必要な範囲、または特定の規制上および法的理由のためにのみ個人データを保持する必要があります。

2018 年の時点で、データ侵害通知法も米国のすべての州で施行されており、アラバマ州がそれを施行した最後の管轄区となっています。これらにより、すべての民間および政府機関は、個人情報の侵害を個人に通知することが義務付けられます。

しかし、米国の既存のデータ規制全体において、ペナルティのパラメータは依然として曖昧です。また、個々の州の規制に優先したり、データプライバシーの執行に関する指針を提供したりする連邦法がなければ、州法が重大なリスクを課すことは困難になるでしょう。国家問題に関する判例法は来年あたりに登場し始め、執行の範囲がより明確になるだろう。

これらの法律を総合すると、消費者と従業員がデータ プライバシー関連の損害賠償を求めて企業を訴えることができる、複雑かつ広範な私的訴訟権の基礎が確立されています。次に、企業の利害関係者と株主は、データ リポジトリの価値を維持し、事業活動を継続し、戦略と運営を規制上の義務と調和させる方法を決定する必要があります。

内部関係者の脅威

近年の大規模なデータ侵害の一部は、次のいずれかによって引き起こされました企業内部関係者の過失または悪意のある行為.

2018 年 5 月 25 日から 10 月 1 日までの間に、フランスのデータ保護局 (CNIL) は、3,300 万人以上に影響を与えた 700 件を超えるデータ侵害の通知を受け取りました。侵害のうち 62 件は間違った受信者に送信されたデータに関連しており、47 件はデバイスの紛失または盗難によるもので、41 件は意図しない情報の公開によるものでした。報告書は、侵害の多くが従業員またはパートナーの意図しないミスに起因していることを示しています。たとえば、2018 年にフランスの通信事業者は、人為的ミスにより長年にわたるセキュリティ上の脆弱性が発生したことを CNIL に通知しました。同社の Web サイトでユーザー認証を制御するコンピューター コードがテストのために非アクティブ化されましたが、同社はテスト完了後にコードを再アクティブ化できませんでした。同社の顧客の個人データは最終的に暴露され、CNIL は 25 万ユーロの罰金を課しました。

でCybersecurity Insiders より、調査対象の組織の 90% が内部者攻撃に対して脆弱であると感じており、53% が過去 12 か月間で組織に対する内部者攻撃の被害にあったと認めています。さらに、サイバーセキュリティ専門家を対象とした調査では、42% が組織にとって最も損害を与えるタイプの脅威は内部関係者による攻撃または侵害であると回答していることがわかりました。

 

絵を描く人もいるが内部関係者の脅威の写真内部から意図的に破壊しようとする悪意のある攻撃者として、この理解により問題が軽減されます。最終的に、内部関係者の脅威は、内部システムまたは情報にアクセスし、意図的または非意図的にそのアクセスを使用して危害を引き起こす人物です。

内部関係者による脅威の現在の平均コストは 870 万ドルであると述べました。このような出来事によって生じる可能性のある顧客の信頼、株主価値、事業の存続可能性への損害は、内部関係者の意図に関係なく、同様に破壊的なものになる可能性があります。データのプライバシーと保護の取り組みに内部関係者の脅威を織り込むことは、データ侵害を確実に有意義に軽減するために重要です。

どこから始めるべきか

企業の利害関係者は、個人データを適切に保護し、事業運営を可能にする適切な管理を導入する必要があります。そのためには、企業は、データを保護するための明確で達成可能な堅牢なプログラムとポリシーを含む情報ガバナンス (IG) を確立する必要があります。

これらの取り組みには、記録管理、法務、コンプライアンス、セキュリティ、IT、運用のリーダーを含む主要な関係者からなる部門横断的なチームが必要です。このようなタスクフォースは、新しいプログラムが組織全体のニーズを確実に満たし、特定の部門から発生する可能性のある課題に対処するのに役立ちます。これらの利害関係者は、新しいプロセスの背後にある基本的な法律および規制の推進力を評価し、伝達する必要があります。また、組織全体の成功と事業継続にとってこのプログラムがいかに重要であるかを社内の全員が理解できるようにする必要もあります。

取締役会や幹部のスポンサーを確保することも重要です。チームは、特に経営層レベルの問題点に対処するプログラムの利点を説明することで賛同を得ることができます。たとえば、エグゼクティブスポンサーが法務顧問の場合、財務リスクケースを作成することが重要です。 CIO または他の IT リーダーからスポンサーシップを求められた場合、彼らはデータの最小化に取り組み、IT オーバーヘッドを削減するプロジェクトを受け入れる可能性が高くなります。

ビジネス リーダーや取締役会のメンバーは、収益への全体的な影響と、企業が事業を展開する地域のさまざまな規制を遵守しなかった場合に発生する可能性のある罰則のコストを回避することに、より重点を置くようになるでしょう。

車輪の再発明はやめましょう

多くの企業は、GDPR に準拠するために、特に防御可能なデータ削除とデータ主体アクセス要求 (DSAR) への対応に関して、すでに大幅な運用変更を行っています。組織はこの取り組みを基盤として新たに出現する法律に対応し、これまでの活動から学んだ教訓を将来のプロセス調整に役立てることができます。

初めてデータ プライバシーへの取り組みに取り組む組織の場合は、いくつかの手順を踏む必要があります。関係者は、既存のプライバシー ポリシーと、対応する標準的な運用手順、通信、およびメッセージング手順を調査し、更新する必要があります。その後、組織のデータ領域の詳細なマップの作成を開始し、機密情報がどこから発生し、流れ、保存されているかの範囲全体を説明します。これにより、新しいプログラムが展開されるときにどの領域を優先する必要があるかがわかり、最も機密性の高いデータ プールに最初に適用されるようになります。組織全体のデータ チャネルを追跡するチームを任命する必要があります。データ フローに変更があった場合は、必要に応じて監査と調査を行うことができます。

また、チームはデータ マップをガイドとして使用して、脆弱性が存在する場所や、暗号化やアクセス制御などのベスト プラクティスの保護が不足している場所を監査および分析できます。驚くべきことに、暗号化はまだほとんどの企業内で必要とされるほど広く使用されていません。企業の 60% 近くが一貫した暗号化戦略を持っていないことが判明しました。このことは、情報セキュリティのベースライン基準を満たすには依然として多くのギャップが存在することを痛感させます。

事業運営に不可欠ではないデータ、または法的およびコンプライアンスの保持要件の対象ではないデータの防御可能かつタイムリーな破棄に対処するプロセスを関係者と構築できます。データ処理の同意が与えられたかどうか、いつ、どのように与えられたかを追跡するため。 DSAR やその他の問い合わせがどのように認証され、応答されるか。確立されたプロセスにより、データの処理、保存、使用、共有、保持、削除の方法に関するワークフローが推進されます。組織の個人データの保管場所と接触するすべての従業員は、これらのプロセスと、受信データ要求に適切に対応し、エスカレーションし、拡張する方法についてトレーニングを受ける必要があります。プログラムとトレーニング活動の監査は定期的に実施し、その結果を文書化して、違反や規制当局の調査が必要になった場合に備えて保管する必要があります。

戦術的なテクノロジーの観点から見ると、組織が IG およびデータ プライバシーのプログラムとプロセスをサポートするために活用できるさまざまなツールがあります。ネットワーク内で発生する潜在的に有害なアクティビティを自動的に追跡、制御、検出、ブロックするエンドポイント データ損失防止 (DLP) テクノロジーは、その一例です。 DLP ツールは、IG ポリシーの運用と組織内での機密データの保管に有意義な影響を与えることができます。

モバイル デバイス管理ツールも同様に便利で、IT セキュリティ チームは会社所有および従業員所有のデバイスを管理および制御できます。デバイスに関連する内部リスクが発生した場合に、アクセスをブロックしたり情報を消去したりする機能を提供します。

従業員の監視は、プライバシーの観点からは物議を醸していますが、不審な内部関係者の活動を検出して阻止するために活用できるテクノロジーのもう 1 つのカテゴリです。新しいテクノロジーは、データ プライバシーとコンプライアンスの観点から法務、IT、セキュリティの主要な関係者間で精査し、それに応じて既存のプログラムに組み込む必要があります。

避けるべき落とし穴

データ保護プログラムの導入を始めた組織内でも、従業員の多くは依然として、従業員が退職したときにタイムリーにアクセスのプロビジョニングを継続的に解除し、機密情報を隔離することに苦労しています。

調査対象となった組織の 69% が、「従業員が退職時に情報リソースを持ち出したことにより、重大なデータまたは知識の損失に見舞われた」ことが判明しました。

IG の関係者は、人事部と緊密に連携して、役割の変更、解雇、または新しい従業員の補充に応じてアクセスを監視および更新する必要があります。人事およびデータ セキュリティは、データ セキュリティを強化するトレーニングやその他の管理だけでなく、適切なアクセス管理に対処するために、ライフサイクル全体を通じて従業員との継続的なタッチポイントを持つ必要があります。

同様に、従業員に適用されるポリシーやプロセスから免除されることが多い請負業者は、会社のポリシーやプロセスの観点から目立たなくなり、より強力なデータ プライバシーと保護の実装に取り組む情報セキュリティ チームから見えなくなる可能性があります。近年で最も注目を集めたデータ侵害の 1 つである、2013 年の米国の大手小売業者の顧客に属するクレジット カード情報の侵害は、承認された請負業者が無害にネットワークにアクセスし、誤ってマルウェアがシステムに侵入することを許可したことが原因でした。チームはこの潜在的な脅威を見逃さないように注意し、データ保護プロセスの一部として請負業者の管理とアクセス制御を必ず組み込む必要があります。

多くの善意の企業が直面するもう 1 つの共通の落とし穴は、分析の麻痺に陥ることです。多くのチームは、最終的な意思決定プロセスにあまりにも多くの関係者が関与しており、ポリシーの細部に囚われて、最終的に承認と実装を得ることができません。チームが完璧を十分に優れたものの敵にしないことが重要です。組織は、部門を超えた利害関係者から広範な意見を得ることができるようにすることと、キッチンに調理人が多すぎる状態になることとの間で適切なバランスを取る必要があります。

これに対処する 1 つの方法は、コラボレーション ワークショップで取り組みを開始することです。多くの部門の主要人物をブレインストーミングに参加させ、データのニーズ、リスク、課題に関する組織の状況について意見を提供できます。その後、セッションは、特定のビジネス ニーズに基づいて、そのグループの誰がテーブルに着席するかを決定することに移ります。コラボレーション ワークショップは、重点を置く主要分野についてのコンセンサスを得て終了する必要があり、プログラムを主導して承認するために最大 3 人 (理想的には法務部門、IT、セキュリティおよびビジネスのリーダーを代表する関係者) が選ばれます。プログラムが承認されると、より広範なチームが再び参加して、組織の他のメンバーとプログラムを連携させ、運用できるようになります。

結論

データ プライバシー規制と情報セキュリティが交差することにより、企業はデータ管理とセキュリティ防御を強化する絶好の機会を得ることができます。関係者は連携して内部および外部の脅威から保護し、データ損失のリスクを軽減しながら、同時にデータ保護を強化し、プロセスを合理化できます。

これらの手順を実行すると、企業のデータ領域からある程度の複雑さとリスクが取り除かれます。そして、組織がネガティブなニュースの見出しや望まない規制当局の注目の対象になる前に、積極的にそうすることで、長期的な文化と信頼の評判への道が開かれるでしょう。

T。 Sean Kelly は FTI Consulting のシニア ディレクターで、フィラデルフィアに拠点を置いています。 FTI Technology の情報ガバナンス、プライバシー、セキュリティ業務の上級メンバーとして、ケリーは 10 年以上の経験を活用して、情報ライフサイクル管理のあらゆる側面についてクライアントにアドバイスしています。