一般データ保護規則(GDPR)への準拠

タレスでは、組織のセキュリティ体制を強化しつつ、GDPRに準拠するための支援を行っています。

#FITforGDPR

Global Map

規制

現在有効

GDPR

GDPR(EU一般データ保護規則)への準拠

おそらく、これまでで最も包括的なデータプライバシーの標準である GDPR は、EU 市民の個人情報を処理するあらゆる組織に影響を与えます。組織の拠点が置かれている場所には関係ありません。

タレス eセキュリティは、GDPR 規則の第 32 条および第 34 条への準拠を支援します。これらの条項には以下の内容が記載されています。

  • 個人情報の匿名化または暗号化
  • 個人情報に対する不正アクセス
  • ダウンロードページ
GDPR概要

2018年5月の施行まで間もなくとなりました。 一般データ保護規則(GDPR)は、個人情報の保護の向上、プライベートデータ流出の抑制、データ侵害に対する組織の説明責任の明確化を目的としています。 GDPRに準拠しない場合は、売上高の最大4%または2,000万ユーロという巨額の罰金を科せられる可能性があり、GDPRは国際的に大きな実効力を持っています。 組織の所在地に関わらず、EUの居住者の個人情報を取り扱うすべての事業者が対象となるため、準拠に備える必要があります。

GDPRの要件

GDPRの主な規定では、以下が要求されます。

  • 個人情報の仮名化と暗号化を含め、リスクレベルに応じた安全管理措置を講じなければいけない(第32条)
  • セキュリティの有効性のテスト、評価および検証を定期的に行わなければいけない(第32条)
  • 個人情報の侵害(漏えい)が見つかった場合、当該の侵害について個人情報の本人に過度の遅延なく通知すること(侵害の通知)(第34条)
  • 個人データの不正行為に対して防御すること(第32条)
構造化データベースと非構造化ファイルの両方の暗号化

Vormetricのファイルベースの透過暗号ソリューションでは、GDPRで要求される高水準のデータ保護が可能となり、侵害の発生時でも侵入者からデータを守ります。これにより、第34条で定められている「侵害の通知」に関する要件を回避することができます。第34条では、組織が「適切な技術的・組織的な防護施策を実施しており、侵害によって影響を受ける個人情報に対して当該の施策、特に暗号化などの個人情報にアクセスする権限を持たない人物がデータを理解できないようにする施策が適用されている」場合には、本人への通知は必要ないと規定されています。

Vormetricのファイルベースの透過暗号ソリューションでは、侵害通知プロセスを回避することできる以外にも、侵害が公に知られることによる評判の甚大な失墜も未然に防ぐことができます。

個人情報に対する不正アクセスの防止

タレスは、個人情報への不正アクセスを防ぎ、GDPRの第32条に準拠することを支援します。「Vormetric Data Security Platform」は、権限を持つ管理者とデータ所有者の間での責任の分離を可能にし、二要素認証を提供します。 「nShield HSM」は、個人情報にアクセスするユーザーやプロセスに対して、厳しい認証設定を可能にします。

定期的なセキュリティの有効性のテスト、評価および検証

Vormetricのセキュリティインテリジェンスは、セキュリティ情報イベント管理(SIEM)システムと統合して、GDRPの準拠に必要なセキュリティレポートに関するイベントログを作成します。このログによってユーザーとプロセスの許可または拒否されたアクセスの監査証跡が作成され、ファイルアクセスを詳細に調査することができます。不適切なデータアクセスを報告し、内部の人間による脅威やハッカー、境界セキュリティに障害をもたらすAPT攻撃の検出を促進します。

Research and Whitepapers : Aligning GDPR Requirements with Today’s Hybrid-Cloud Realities

This paper examines the regulation’s security standards, and it then looks at the capabilities security teams need to address GDPR across their IT environments, which continue to grow increasingly hybrid in nature, encompassing both on-premises and multiple cloud services.

ダウンロード

eBook :マルチクラウド環境における GDPR への準拠

GDPR の適用が開始され、利用しているクラウドサービスプロバイダーが、自社のコンプライアンス態勢にどのような影響を及ぼすかを理解しておくことが重要です。この文書には、今後検討が必要となる領域を特定するために、CSP に確認すべき質問に関するガイダンスが記載されています。

ダウンロード

その他の重要なデータ保護およびセキュリティ規制

GDPR

GDPR Thumbnail

規制

現在有効

おそらく、これまでで最も包括的なデータプライバシーの標準である GDPR は、EU 市民の個人情報を処理するあらゆる組織に影響を与えます。組織の拠点が置かれている場所には関係ありません。

詳細

PCI DSS

GDPR Thumbnail

義務

現在有効

クレジットカードやデビットカードでの支払いを処理するすべての組織は、アカウントデータの処理、保管、転送に関する厳密なPCI DSSコンプライアンス要件を満たす必要があります。

詳細

データ漏洩の通知に関する法律

eIDAS

規制

現在有効

個人情報が漏洩した場合の通知に関する要件は、世界中の国で制定されています。法的管轄によって内容は異なりますが、ほぼ共通しているのは「セーフハーバー」条項が組み込まれていることです。

詳細
コンプライアンスの専門家に相談する 問い合わせ
コンプライアンスおよび規制に関するソリューションハンドブックを読む eBookを読む
インタラクティブなデモを閲覧する デモ
ライブデモの申し込み デモの申し込み
スペシャリストへのコンタクト お問い合わせ