一般データ保護規則(GDPR)準拠を続けていくために、リモートワークで働く従業員がいる企業は、データを保護し、従業員のアクセスを管理するために、さらに対策を講じる必要があります。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
一般データ保護規則(GDPR)とは、個人データ収集、保存、処理に関する一連の規則のことです。GDPRは、欧州連合(EU)市民に関するデータを収集する企業全てに適用されます。GDPRに違反する企業は、たとえEU圏外の企業であっても、高額の罰金が科せられます。
どのようなビジネスにおいても、GDPR準拠は課題となることが多く、リモートワークを行うと、さらに複雑性が増すことになります。従業員と契約者全員または一部が在宅勤務している場合、内部データ保護チームによるデータセキュリティの管理能力と可視性が低下することがあります。強硬なリモートアクセスセキュリティポリシーを持つことで、GDPRが保護する個人データと企業機密データの安全装置として役立ちます。
リモートアクセスポリシーとは、リモートワークの従業員と使用されるデバイスの一連のセキュリティ基準です。こうしたポリシーは通常、企業のITチームまたはセキュリティチームが策定します。リモートアクセスに関するセキュリティポリシーに含まれるものとしては、バーチャルプライベートネットワーク(VPN)の使用、従業員のデバイスへのマルウェア対策のインストール、他要素認証(MFA)が挙げられます。
GDPRは、非常に広範囲な規則です。GDPRの主要要件に含まれるものを簡単にまとめると、次のようになります:
こうした要件が、リモートワークによる労働の導入で影響を受けることはありませんが、他の要件には直接影響があります。さらに、GDPRにおいてデータセキュリティは主要事項であるため、自宅から仕事をすることを許可している企業は、従業員が遠隔からアクセスするデータを保護するために正しい段取りを踏むように確認する必要があります。
多くのEU企業が海外に事務所をかまえるか、他の地域でリモートワークをする従業員の管理を行っています。GDPRの地域外から権限を持つ従業員がデータにアクセスしたとしても、同じ組織内に個人データがあって公開されていない限り、その企業は準拠していることになります。
たとえば、ボブさんは消費者データを収集するフランスの企業に勤めていますが、一ヶ月間 (GDPRが適用されない)米国で働いているとしましょう。ボブさんの会社はGDPRに準拠していますが、ボブさんが米国にいる間に自分のラップトップから消費者データを閲覧したとしても、データの安全性が確保されている限り、もちろんこれは準拠に当たります。
ただし、この考え方は個人契約者や外部機関には当てはまりません。その理由は、こうした人たちや機関は企業外の第三者の立場にあるためです。準拠しないリモートワークの契約者が海外からボブさんの会社にあるデータにアクセスする場合は、GDPR違反となります。
このため、分散する従業員の管理をする場合、強力なアクセス制御が機能することが重要なのです。企業内で指名を受けて権限を持つ人物のみが、EU市民データへのアクセスができるようになっていなければなりません。
GDPRの主な目標は、消費者のデータが安全でプライバシーが守られている状態を保つことです。したがって、次の手順はリモートアクセスポリシーで非常に大事な部分なのです(完全なリストではありません):
転送中のデータとは、A地点からB地点に移動するデータのことで、たとえば、SaaSアプリケーションとユーザーデバイス間を通過するデータのことです。停止中のデータとは、ユーザーのラップトップのハードドライブ上のデータなどを指します。どちらの場合も、データは安全が確保されていなければなりません。
アクセス制御と暗号化は、データ保護のためにカギとなるテクノロジーです。リモートワークをする従業員も、全ての従業員と同じように、個人データにアクセスする正当な理由がなければなりませんし、データへのアクセスは追跡、そして管理される必要があります。IDおよびアクセス管理 (IAM)テクノロジーが、権限のない人物がデータを表示したり改ざんしたりできないように防止しています。
さらに、インターネットを含めてネットワークを移動するデータは、HTTPS、VPNや他の方法で暗号化される必要があります。(クラウドベースのアプリケーションはリモートワークの従業員に関する規則を準拠することができます。詳しくは、こちらのビジネスVPNに関する記事をご覧ください。)加えて、データが保存中、またはサーバーやハードウェアで「停止中」の時でも暗号化されていなければなりません。これを実現するには、ITチームが全てのデバイスで、場合によっては従業員個人のデバイスでも、暗号化に関するセキュリティポリシーを適用する必要があります。
リモートワークの従業員のエンドポイントデバイス(ラップトップ、デスクトップコンピューター、スマートフォンなど)は、マルウェアの感染がデータ漏えいにつながるため、サイバー攻撃から保護されなければなりません。デバイスには、最低でもマルウェア対策ソフトウェアがインストールされていなければなりません。セキュアWebゲートウェイでも、インターネットをブラウザする従業員らを保護することができます。
マルウェアの感染よりもさらに一般的なのが、デバイスの紛失です。機密データがローカルに保存されているラップトップやスマートフォンを、従業員が誤って公共スペースにおいてきてしまうケースです。これが、デバイスの暗号化が極めて重要である理由の一つです。
フィッシング攻撃は、依然としてデータ漏えいで最も一般的な原因の一つです。フィッシング攻撃とは、攻撃者がユーザーをだましてログイン認証情報を送信させ、ユーザーアカウントを乗っ取ってしまうことです。アカウントの乗っ取りとは、攻撃者が組織内に侵入し、消費者データの表示、漏えい、窃盗ができてしまうため、準拠し続けようと努力する企業にとって悲惨な結果となってしまいます。
ブルートフォースとパスワードスプレー攻撃も、アカウント乗っ取りにつながることがあり、企業は強硬なパスワードポリシーを適用するべきです。いかなる従業員のパスワードでも推測できる人がいることは許されませんし、パスワードもボット攻撃のほとんどに耐えられるものである必要があります。可能であれば、企業が使用中の企業アプリケーションで二要素認証を実装させるべきでしょう。
チームのためのCloudflareでは、チームがどこにいてもデータを保護するために役立ちます。Cloudflare Accessを使うと、Cloudflareグローバルネットワークの背後に企業リソースを配置することで、VPNに頼ることなく安全なアクセス管理が実行できるようになります。CloudflareゲートウェイがDNSフィルタリングで悪意のあるWebサイトをブロックし、企業のネットワーク内外のトラフィックに完全な可視性をもたらし、ブラウザ分離を使ってゼロデイ脅威から保護します。企業は、チームのためのCloudflareを利用することで、さらに安全で、GDPR準拠から外れることになるデータ漏えいのリスクを軽減できます。
また、CloudflareはGDPR準拠そのものであり、Cloudflareのお客様が準拠し続けられるようにお手伝いしています。
セールス