GDPRと在宅勤務| GDPRリモートアクセスポリシー

リモートワークを行う企業は、データの保護と従業員のアクセス管理に特別な措置を講じる必要があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • GDPRがリモートワークの従業員に与える影響を理解する
  • リモートアクセスポリシーに何が含まれるか

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

GDPRとは?

EU一般データ保護規則(GDPR)は、個人データの収集、処理、保管、転送に関する枠組みを確立する包括的なデータプライバシー法です。この法律では、すべての個人データを安全な方法で処理することが求められており、これらの要件に従わない事業者に対する罰金や罰則も含まれています。

どのようなビジネスにおいても、GDPR準拠は課題となることが多く、リモートワークを行うと、さらに複雑性が増すことになります。従業員と契約者全員または一部が在宅勤務している場合、内部データ保護チームによるデータセキュリティの管理能力と可視性が低下することがあります。強硬なリモートアクセスセキュリティポリシーを持つことで、GDPRが保護する個人データと企業機密データの安全装置として役立ちます。

リモートアクセスポリシーとは?

リモートアクセスポリシーとは、リモートワークの従業員と使用されるデバイスの一連のセキュリティ基準です。こうしたポリシーは通常、企業のITチームまたはセキュリティチームが策定します。リモートアクセスに関するセキュリティポリシーに含まれるものとしては、バーチャルプライベートネットワーク(VPN)の使用、従業員のデバイスへのマルウェア対策のインストール、他要素認証(MFA)が挙げられます。

GDPRには必要なものは?

GDPRが定める一連の規制は非常に幅広いものです。中でも、データ管理者とデータ処理者が取るべきいくつかの具体的な行動が要求されています。その一部を紹介します。

  • 記録の保持:データ処理者は、自身の処理活動の記録を保持しなければならない。
  • セキュリティ対策:データ管理者および処理者は、収集および処理するデータを保護するために、適切なセキュリティ対策を定期的に使用およびテストしなければならない。
  • データ侵害の通知:個人データ漏えいを受けたデータ管理者は、一部の例外を除き、72時間以内に適切な当局に通知しなければならない。通常、データ管理者は、データ漏えいにより影響を受けた個人にも通知しなければならない。
  • データ保護責任者(DPO):データを処理する企業は、データ保護責任者(DPO)を雇用する必要がある場合があります。DPOは、すべてのGDPRコンプライアンスの取り組みを主導および監督します。

データ管理者および処理者に対する完全な要件については、GDPR に記載されています。

GDPRにおいてデータセキュリティは主要事項であるため、自宅から仕事をすることを許可している企業は、従業員が遠隔からアクセスするデータを保護するために正しい段取りを踏むように確認する必要があります。

リモートワークを行う企業がデータセキュリティを確保するためにすべきことは?

したがって、次の手順はリモートアクセスポリシーで非常に大事な部分なのです(完全なリストではありません):

転送中と停止中の両方でデータを保護します。

転送中のデータとは、A地点からB地点に移動するデータのことで、たとえば、SaaSアプリケーションとユーザーデバイス間を通過するデータのことです。停止中のデータとは、ユーザーのラップトップのハードドライブ上のデータなどを指します。どちらの場合も、データは安全が確保されていなければなりません。

アクセス制御暗号化は、データ保護のためにカギとなるテクノロジーです。リモートワークをする従業員も、全ての従業員と同じように、個人データにアクセスする正当な理由がなければなりませんし、データへのアクセスは追跡、そして管理される必要があります。IDおよびアクセス管理(IAM)テクノロジーが、権限のない人物がデータを表示したり改ざんしたりできないように防止しています。

さらに、インターネットを含めてネットワークを移動するデータは、HTTPS、VPNや他の方法で暗号化される必要があります。(クラウドベースのアプリケーションはリモートワークの従業員に関する規則を準拠することができます。詳しくは、こちらのビジネスVPNに関する記事をご覧ください。)加えて、データが保存中、またはサーバーやハードウェアで「停止中」の時でも暗号化されていなければなりません。これを実現するには、ITチームが全てのデバイスで、場合によっては従業員個人のデバイスでも、暗号化に関するセキュリティポリシーを適用する必要があります。

従業員のエンドポイントを保護します。

リモートワークの従業員のエンドポイントデバイス(ノートパソコン、デスクトップコンピューター、スマートフォンなど)は、マルウェアの感染がデータ漏えいにつながるため、サイバー攻撃から保護する必要があります。デバイスには、最低でもマルウェア対策ソフトウェアがインストールされている必要があります。セキュアWebゲートウェイでも、インターネットをブラウザする従業員らを保護することができます。

マルウェアの感染よりもさらに一般的なのが、デバイスの紛失です。機密データがローカルに保存されているラップトップやスマートフォンを、従業員が誤って公共スペースにおいてきてしまうケースです。これが、デバイスの暗号化が極めて重要である理由の一つです。

フィッシング攻撃やその他のアカウント乗っ取りから保護します。

フィッシング攻撃は、依然としてデータ漏えいで最も一般的な原因の一つです。フィッシング攻撃とは、攻撃者がユーザーをだましてログイン認証情報を送信させ、ユーザーアカウントを乗っ取ってしまうことです。アカウントの乗っ取りとは、攻撃者が組織内に侵入し、消費者データの表示、漏えい、窃盗ができてしまうため、準拠し続けようと努力する企業にとって悲惨な結果となってしまいます。

ブルートフォースとパスワードスプレー攻撃も、アカウント乗っ取りにつながることがあり、企業は強硬なパスワードポリシーを適用するべきです。いかなる従業員のパスワードでも推測できる人がいることは許されませんし、パスワードもボット攻撃のほとんどに耐えられるものである必要があります。可能であれば、企業が使用中の企業アプリケーションで二要素認証を実装させるべきでしょう。

アカウント乗っ取り攻撃を防止する方法についてご覧ください。