GDPRと在宅勤務| GDPRリモートアクセスポリシー

GDPRとは？

The General Data Protection Regulation (GDPR) is a comprehensive data privacy law that establishes a framework for the collection, processing, storage, and transfer of personal data. It requires that all personal data be processed in a secure fashion, and it includes fines and penalties for businesses that do not comply with these requirements.

どのようなビジネスにおいても、GDPR準拠は課題となることが多く、リモートワークを行うと、さらに複雑性が増すことになります。従業員と契約者全員または一部が在宅勤務している場合、内部データ保護チームによるデータセキュリティの管理能力と可視性が低下することがあります。強硬なリモートアクセスセキュリティポリシーを持つことで、GDPRが保護する個人データと企業機密データの安全装置として役立ちます。

リモートアクセスポリシーとは？

リモートアクセスポリシーとは、リモートワークの従業員と使用されるデバイスの一連のセキュリティ基準です。こうしたポリシーは通常、企業のITチームまたはセキュリティチームが策定します。リモートアクセスに関するセキュリティポリシーに含まれるものとしては、バーチャルプライベートネットワーク(VPN)の使用、従業員のデバイスへのマルウェア対策のインストール、他要素認証(MFA)が挙げられます。

GDPRには必要なものは？

The GDPR is a very broad set of regulations. Among other things, it requires several specific actions that data controllers and processors need to take. Some of these include:

• Record keeping: Data processors must keep records of their processing activities.
• Security measures: Data controllers and processors must regularly use and test appropriate security measures to protect the data they collect and process.
• Data breach notification: Data controllers that suffer a personal data breach have to notify appropriate authorities within 72 hours, with some exceptions. Usually, they also have to notify the individuals whose personal data was affected by the breach.
• Data Protection Officer (DPO): Companies that process data may need to hire a Data Protection Officer (DPO). The DPO leads and oversees all GDPR compliance efforts.

The full requirements for data controllers and processors are described in the GDPR.

Because data security is a primary concern under the GDPR, companies that allow their workers to work from home need to make sure they are taking the right steps to protect the data that their workers access remotely.

What should businesses with remote workforces do to ensure data security?

したがって、次の手順はリモートアクセスポリシーで非常に大事な部分なのです(完全なリストではありません)：

転送中と停止中の両方でデータを保護します。

転送中のデータとは、A地点からB地点に移動するデータのことで、たとえば、SaaSアプリケーションとユーザーデバイス間を通過するデータのことです。停止中のデータとは、ユーザーのラップトップのハードドライブ上のデータなどを指します。どちらの場合も、データは安全が確保されていなければなりません。

アクセス制御と暗号化は、データ保護のためにカギとなるテクノロジーです。リモートワークをする従業員も、全ての従業員と同じように、個人データにアクセスする正当な理由がなければなりませんし、データへのアクセスは追跡、そして管理される必要があります。IDおよびアクセス管理 (IAM)テクノロジーが、権限のない人物がデータを表示したり改ざんしたりできないように防止しています。

さらに、インターネットを含めてネットワークを移動するデータは、HTTPS、VPNや他の方法で暗号化される必要があります。(クラウドベースのアプリケーションはリモートワークの従業員に関する規則を準拠することができます。詳しくは、こちらのビジネスVPNに関する記事をご覧ください。)加えて、データが保存中、またはサーバーやハードウェアで「停止中」の時でも暗号化されていなければなりません。これを実現するには、ITチームが全てのデバイスで、場合によっては従業員個人のデバイスでも、暗号化に関するセキュリティポリシーを適用する必要があります。

従業員のエンドポイントを保護します。

リモートワークの従業員のエンドポイントデバイス(ラップトップ、デスクトップコンピューター、スマートフォンなど)は、マルウェアの感染がデータ漏えいにつながるため、サイバー攻撃から保護されなければなりません。デバイスには、最低でもマルウェア対策ソフトウェアがインストールされていなければなりません。セキュアWebゲートウェイでも、インターネットをブラウザする従業員らを保護することができます。

マルウェアの感染よりもさらに一般的なのが、デバイスの紛失です。機密データがローカルに保存されているラップトップやスマートフォンを、従業員が誤って公共スペースにおいてきてしまうケースです。これが、デバイスの暗号化が極めて重要である理由の一つです。

フィッシング攻撃やその他のアカウント乗っ取りから保護します。

フィッシング攻撃は、依然としてデータ漏えいで最も一般的な原因の一つです。フィッシング攻撃とは、攻撃者がユーザーをだましてログイン認証情報を送信させ、ユーザーアカウントを乗っ取ってしまうことです。アカウントの乗っ取りとは、攻撃者が組織内に侵入し、消費者データの表示、漏えい、窃盗ができてしまうため、準拠し続けようと努力する企業にとって悲惨な結果となってしまいます。

ブルートフォースとパスワードスプレー攻撃も、アカウント乗っ取りにつながることがあり、企業は強硬なパスワードポリシーを適用するべきです。いかなる従業員のパスワードでも推測できる人がいることは許されませんし、パスワードもボット攻撃のほとんどに耐えられるものである必要があります。可能であれば、企業が使用中の企業アプリケーションで二要素認証を実装させるべきでしょう。