一般データ保護規則（GDPR）への準拠

GDPRの概要

一般データ保護規則が施行されました。GDPRは個人データの保護を強化し、データ漏洩に対する組織の説明責任を厳格化することを目的としています。組織の世界全体での収益の最大4%または2,000万ユーロ（どちらか高い方）が罰金として科せられる可能性があるため、同規則は確かに効力があります。組織の拠点がどこにあっても、EU居住者の個人データを処理または管理する場合は、同規則に対応できるよう準備を整えておく必要があります。

特定要件

GDPRの主要な規定により、組織には次のことが求められます。

• 「不正または違法な処理に対する保護を含む」セキュリティを確保する方法で個人データを処理する（第5条）
• 「個人データの仮名化と暗号化」など、リスクのレベルに適したデータセキュリティ確保のための技術的・組織的対策を実施する（第32条）
• 「処理におけるセキュリティを確保するための技術的・組織的対策の有効性を定期的にテストおよび評価するためのプロセス」を実施する（第32条）
• 「個人データの漏洩が（その漏洩の対象者の）権利と自由に高いリスクをもたらす可能性がある場合」に、かかる個人に「過度の遅延なく」その漏洩について通知する（第34条）
• 「個人データの許可されていない開示またはアクセス」から保護する（第32条）

構造化データと非構造化データの両方を暗号化

CipherTrust 透過的暗号化は、GDPRが指定する種類の「最先端の」ファイルベースのデータ保護を提供します。CipherTrust 透過的暗号化を使用することで、組織はデータ漏洩が発生した場合でも、サイバー侵入者が個人データを解読できないようにすることができます。これにより、第34条に記載されている侵害通知の要件を回避できます。

第34条では、組織が「適切な技術的・組織的保護措置を講じており、それらの措置、特に暗号化など、個人データへのアクセスが許可されていない人にとって解読できないものにするための措置が、個人データの漏洩の影響を受ける個人データに適用されていた場合」、データ主体への通知は必要とされないと定めています。

組織はコストのかかる漏洩通知プロセスを回避することに加えて、データ漏洩の発生を公表することで生じる実質的な評判の低下を防ぐことができます。

個人データへの不正アクセスを防止

タレスの製品とソリューションは、個人データへの不正アクセスを防止するのに役立ち、第32条への準拠を可能にします。具体的に言うと、CipherTrust データセキュリティ プラットフォームは特権管理者とデータ所有者の間での職務分離を可能にし、二要素認証をサポートします。

データセキュリティの有効性をテスト・評価

CipherTrust セキュリティ インテリジェンスは、セキュリティ情報およびイベント管理（SIEM）システムと簡単に統合できる詳細なセキュリティイベントログを生成し、GDPRへの準拠に必要な種類のセキュリティレポートを生成します。このような企業向けネットワークセキュリティ情報ログは、ユーザーやプロセスからの許可および拒否されたアクセス試行に関する監査可能な証跡を生成し、ファイルアクセスアクティビティに対する前例のない洞察を提供します。このような企業向けネットワークセキュリティ情報ログは、異常または不適切なデータアクセスを報告し、内部脅威やハッカー、また境界セキュリティを無効にする高度標的型攻撃の検出を促進します。