ウィンマジックの調査で5/25に適用開始のEU GDPRへの準備が大半の企業でできていない事が明らかに

2018年05月25日(金) 18:10:41

5 分の 1 の企業が、個人を特定できる情報の継続的な暗号化に対応しておらず、GDPR 規制の第 16 条および第 17 条の要件に適合しているシステムを確立している企業は半数となっています。

2018 年 5 月 25 日(金)東京発―ディスク暗号化ソフトウェアの先進企業、WinMagic Inc. の日本法人であるウィンマジック・ジャパン株式会社(本社:東京都港区、カントリーマネージャー:石山 勉、以下ウィンマジック)は、新しい EU GDPR(一般データ保護規則)の適用が開始される 2018 年 5 月 25 日までのわずか 1 カ月となる中で、多くの企業が十分な準備ができていないことを示す調査結果を発表しました。調査対象となった IT 意思決定者の 62% は準備について「万全」と回答していますが、5 人に 1 人(18%)は不安を抱えていると回答しています。

GDPR の第 16 条および第 17 条に従って、バックアップなどの要件を遵守しながら、サーバから EU 市民のデータを削除できるすべてのシステムを準備できていると回答したのは半数の企業(51%)だけでした。5 分の 1(21%)の企業がまだまったくシステムを導入していないことに懸念を覚えます。

EU 市民のデータを保管および処理するすべての企業に影響を及ぼす新しい規則を確実に遵守するためのシステムとプロセスが、多くの企業で欠落している状態です。企業には、個人情報を保護し、収集、処理、保管するデータを最小限に抑えるための適切な技術的および組織的な措置を講ずることが求められています。違反すると 2000 万ユーロまたは前年売上高の 4 パーセントが罰金として科せられますが、違反によりデータ侵害が発生し EU 市民をリスクにさらすことにより企業の評判が失墜すると、それよりも遥かに甚大な損失を被ることになるでしょう。

73% の企業が、GDPR の規制を遵守するためにビジネスの運用方法が変わると考えていますが、この規則要件における次の重要な分野について、企業の対策が遅れています。

データ管理の遅延
• 25% の回答者が、必要なシステムが部分的にしか導入されておらず、バックアップから市民データを自動的に削除できないことを認めています。
• 本来保管されるべき法的な管轄地域から偶発的にも意図的にもデータが移動できないようにするジオフェンシング(地理的な境界が設定)されているデータは 48% だけです。
• 多くの IT 意思決定者(49%)は、データ処理およびストレージパートナーが使用するストレージがある場所のセキュリティ監査を常に実施していないことを認めています。

暗号化されていないデータ
適切なレベルの暗号化と匿名化が GDPR コンプライアンスの要件になっているにもかかわらず、調査対象となった企業の平均 20% がクラウドおよびオンプレミスサーバで個人を識別可能な情報の継続的な暗号化を実施していません。暗号化は、データの侵害が発生した場合の最終的な防衛線となり、権限のない第三者の手にデータが渡っても読み取られることを防止します。

インフラストラクチャとデータがクラウドサーバとオンプレミスサーバの両方に存在している現在の環境では、暗号化の継続的な実装が複雑になる可能性があります。企業が仮想マシンやハイパーコンバージドインフラストラクチャなどのテクノロジに厳格なセキュリティ対策を講ずることなく暗号化を適切に管理していないと、管理されない多くのデータがスプロール化し、隠されたデータがサイロのように存在することなり、包括的なガバナンスを適用できず、コンプライアンス違反が発生し重い罰金が科せられるリスクが生じます。

データ侵害の監視体制が脆弱
データ侵害が発生した場合、進行中の攻撃による影響を抑制するため、そしてサイバー犯罪者による攻撃の拡散やデータの悪用を防止するために、迅速な対応が重要となります。GDPR では、問題が検出されてから 72 時間以内に地域の関係機関にデータ侵害を報告することを求めていますが、IT 意思決定者の 41% はこのような体制をすぐに構築できないと考えています。さらに懸念されることは、発生した侵害や盗まれたデータを特定するためのツールがない企業が多いことです。

• システムが外部からの攻撃によって発生したデータ侵害を自動的にシステムが認識できるかという問いについて、3% はあまり自信がなく、6% はまったく自信がないと回答しています。
• 内部からのデータ侵害については、自社のシステムが自動的に侵害を認識できるかという問いについて、34% はあまり自信がなく、6% はまったく自信がないと回答しています。
• データ侵害によって漏洩したデータを正確に特定できると考えているのはわずか半数(55%)でした。

ウィンマジックのCOO、Mark Hickman は次のように述べています。「企業が EU GDPR への準備を全般的に推進している一方で、今回の調査では、その施行を直前に控えて、大半の企業が規制に完全に準拠できていないことが明らかになりました。多くの企業が EU 市民のデータを保管し、マーケティングなどに使用するために必要な権限を求めている中で、委任された個人情報を保護するためにこの規則で求められる十分なプロセスや保護機能が企業で欠落している状況です。規制要件を遵守し、消費者のリスクを最小限に抑えるためには、オンプレミスおよびクラウドサービスプロバイダにまたがる IT インフラストラクチャの効果的な制御と管理が、セキュリティと特に暗号化にとって大切な要素となります」

【ウィンマジックについて】
オンタリオ州ミシサガに拠点を置くウィンマジックは、データセキュリティビジネス分野で最大手の企業の 1 つであり、エンドポイント、データセンター、クラウドで統合された暗号化と鍵管理ソリューションを提供します。業界をリードする WinMagic SecureDoc 製品によって、ウィンマジックは堅牢で使いやすく管理が容易なデータセキュリティソリューションを実現しており、データがどのような場所に保存されていても、高度な脅威やデータ損失から最高レベルの保護を可能にします。詳細については、www.winmagic.com/jp にアクセスするか、03-5403-6950 にお電話ください。

調査について
482 名の IT 意思決定者への調査は、英国、ドイツ、インド、および米国にて 2018 年 3 月に Viga によって実施されました。

【お問合せ先】
□会社名
 ウィンマジック・ジャパン株式会社
□住所
 〒1050022
 東京都港区海岸1-2-3 汐留芝離宮ビルディング21階
□電話番号
 TEL:03-3537-1108
□担当者名
 近藤 勉