GDPRとは?
一般データ保護規則(GDPR)とは、個人データ収集、保存、処理に関する一連の規則のことです。GDPRは、欧州連合(EU)市民に関するデータを収集する企業全てに適用されます。GDPRに違反する企業は、たとえEU圏外の企業であっても、高額の罰金が科せられます。
どのようなビジネスにおいても、GDPR準拠は課題となることが多く、リモートワークを行うと、さらに複雑性が増すことになります。従業員と契約者全員または一部が在宅勤務している場合、内部データ保護チームによるデータセキュリティの管理能力と可視性が低下することがあります。強硬なリモートアクセスセキュリティポリシーを持つことで、GDPRが保護する個人データと企業機密データの安全装置として役立ちます。
リモートアクセスポリシーとは?
リモートアクセスポリシーとは、リモートワークの従業員と使用されるデバイスの一連のセキュリティ基準です。こうしたポリシーは通常、企業のITチームまたはセキュリティチームが策定します。リモートアクセスに関するセキュリティポリシーに含まれるものとしては、バーチャルプライベートネットワーク(VPN)の使用、従業員のデバイスへのマルウェア対策のインストール、他要素認証(MFA)が挙げられます。
GDPRには必要なものは?
GDPRは、非常に広範囲な規則です。GDPRの主要要件に含まれるものを簡単にまとめると、次のようになります:
- 消費者は、自分に関してどのようなデータが収集されるか、認識する必要がある
- 消費者が希望する場合、企業はその消費者の個人データを削除しなければならない
- 消費者は、自分のデータを企業から別の企業へと移動できなければならない
- 企業は、消費者からデータを収集する前に、明確な同意を得る必要がある
- 個人データは暗号化しなければならない
- 個人データは特定の個人に結びつかないように、「仮名化」する必要がある
- 権限を持たない人物が、個人データを閲覧することがあってはならない
- 個人データが外部に公開されてしまうデータ漏えいの被害に遭った企業は、迅速に関係当局に通報する必要がある
- GDPRが適用されない地域内にある第三者、または非準拠の第三者と個人データを共有することはできない
- ある一定の規模を持つ企業は全て、専任のデータ保護担当者を配属させる必要がある
こうした要件が、リモートワークによる労働の導入で影響を受けることはありませんが、他の要件には直接影響があります。さらに、GDPRにおいてデータセキュリティは主要事項であるため、自宅から仕事をすることを許可している企業は、従業員が遠隔からアクセスするデータを保護するために正しい段取りを踏むように確認する必要があります。
EU圏外からデータにアクセスするためのGDPR要件は?
多くのEU企業が海外に事務所をかまえるか、他の地域でリモートワークをする従業員の管理を行っています。GDPRの地域外から権限を持つ従業員がデータにアクセスしたとしても、同じ組織内に個人データがあって公開されていない限り、その企業は準拠していることになります。
たとえば、ボブさんは消費者データを収集するフランスの企業に勤めていますが、一ヶ月間 (GDPRが適用されない)米国で働いているとしましょう。ボブさんの会社はGDPRに準拠していますが、ボブさんが米国にいる間に自分のラップトップから消費者データを閲覧したとしても、データの安全性が確保されている限り、もちろんこれは準拠に当たります。
ただし、この考え方は個人契約者や外部機関には当てはまりません。その理由は、こうした人たちや機関は企業外の第三者の立場にあるためです。準拠しないリモートワークの契約者が海外からボブさんの会社にあるデータにアクセスする場合は、GDPR違反となります。
このため、分散する従業員の管理をする場合、強力なアクセス制御が機能することが重要なのです。企業内で指名を受けて権限を持つ人物のみが、EU市民データへのアクセスができるようになっていなければなりません。
間違いなくGDPRを準拠するために、リモートワークする従業員を持つ企業がしなければならないことは?
GDPRの主な目標は、消費者のデータが安全でプライバシーが守られている状態を保つことです。したがって、次の手順はリモートアクセスポリシーで非常に大事な部分なのです(完全なリストではありません):
転送中と停止中の両方でデータを保護します。
転送中のデータとは、A地点からB地点に移動するデータのことで、たとえば、SaaSアプリケーションとユーザーデバイス間を通過するデータのことです。停止中のデータとは、ユーザーのラップトップのハードドライブ上のデータなどを指します。どちらの場合も、データは安全が確保されていなければなりません。
アクセス制御と暗号化は、データ保護のためにカギとなるテクノロジーです。リモートワークをする従業員も、全ての従業員と同じように、個人データにアクセスする正当な理由がなければなりませんし、データへのアクセスは追跡、そして管理される必要があります。IDおよびアクセス管理 (IAM)テクノロジーが、権限のない人物がデータを表示したり改ざんしたりできないように防止しています。
さらに、インターネットを含めてネットワークを移動するデータは、HTTPS、VPNや他の方法で暗号化される必要があります。(クラウドベースのアプリケーションはリモートワークの従業員に関する規則を準拠することができます。詳しくは、こちらのビジネスVPNに関する記事をご覧ください。)加えて、データが保存中、またはサーバーやハードウェアで「停止中」の時でも暗号化されていなければなりません。これを実現するには、ITチームが全てのデバイスで、場合によっては従業員個人のデバイスでも、暗号化に関するセキュリティポリシーを適用する必要があります。
従業員のエンドポイントを保護します。
リモートワークの従業員のエンドポイントデバイス(ラップトップ、デスクトップコンピューター、スマートフォンなど)は、マルウェアの感染がデータ漏えいにつながるため、サイバー攻撃から保護されなければなりません。デバイスには、最低でもマルウェア対策ソフトウェアがインストールされていなければなりません。セキュアWebゲートウェイでも、インターネットをブラウザする従業員らを保護することができます。
マルウェアの感染よりもさらに一般的なのが、デバイスの紛失です。機密データがローカルに保存されているラップトップやスマートフォンを、従業員が誤って公共スペースにおいてきてしまうケースです。これが、デバイスの暗号化が極めて重要である理由の一つです。
フィッシング攻撃やその他のアカウント乗っ取りから保護します。
フィッシング攻撃は、依然としてデータ漏えいで最も一般的な原因の一つです。フィッシング攻撃とは、攻撃者がユーザーをだましてログイン認証情報を送信させ、ユーザーアカウントを乗っ取ってしまうことです。アカウントの乗っ取りとは、攻撃者が組織内に侵入し、消費者データの表示、漏えい、窃盗ができてしまうため、準拠し続けようと努力する企業にとって悲惨な結果となってしまいます。
ブルートフォースとパスワードスプレー攻撃も、アカウント乗っ取りにつながることがあり、企業は強硬なパスワードポリシーを適用するべきです。いかなる従業員のパスワードでも推測できる人がいることは許されませんし、パスワードもボット攻撃のほとんどに耐えられるものである必要があります。可能であれば、企業が使用中の企業アプリケーションで二要素認証を実装させるべきでしょう。
CloudflareがGDPR準拠にどのように役立つのでしょうか?
チームのためのCloudflareでは、チームがどこにいてもデータを保護するために役立ちます。Cloudflare Accessを使うと、Cloudflareグローバルネットワークの背後に企業リソースを配置することで、VPNに頼ることなく安全なアクセス管理が実行できるようになります。CloudflareゲートウェイがDNSフィルタリングで悪意のあるWebサイトをブロックし、企業のネットワーク内外のトラフィックに完全な可視性をもたらし、ブラウザ分離を使ってゼロデイ脅威から保護します。企業は、チームのためのCloudflareを利用することで、さらに安全で、GDPR準拠から外れることになるデータ漏えいのリスクを軽減できます。
また、CloudflareはGDPR準拠そのものであり、Cloudflareのお客様が準拠し続けられるようにお手伝いしています。