私はこれまで何度も、情報セキュリティはIT部門の問題ではないと人々に伝えてきました。実際、そうではありません。社内の全員が、組織の情報セキュリティに貢献し、組織が使用する個人データを保護する責任を負っているのです。
しかし、IT担当者の「ToDoリスト」には、もうすぐ大量の依頼が殺到するだろうと、私は思わずにはいられません。なぜなら、EUの一般データ保護規則(GDPR)が5月に施行され、関連イベントにはほぼ例外なく、ビジネスマネージャーやコンプライアンス担当者などが出席していたからです。つまり、GDPRの運用とコンプライアンスの監督に責任を持つ人たちです。彼らはプロセスを定義したり、同僚に保有しているデータを確認したり、社内弁護士に標準契約条件の更新やプライバシー通知の作成を依頼したりしています。しかし、これらすべてを自分たちだけでこなすのは不可能です。
最近、驚くほど多くのIT関係の友人から、GDPR対策に特に苦労していないというコメントをいただきます。これは少し不可解です。というのも、実は彼らこそがコンプライアンス遵守のプロセス(あるいは、既にコンプライアンスを遵守していることの証明)を支援できる立場にあるからです。確かに、業務担当者はコンプライアンス担当者に日々使用しているデータの種類を伝えることはできますが、データベーススキーマのダンプを提供し、ユーザーがリストを羅列した際に忘れてしまった情報もすべて含んだ、正確性が保証されたバージョンを提供するのはIT部門なのです。
ローカルハードディスクやネットワークファイル共有など、様々なファイルストアをスキャンし、メール、スプレッドシート、議事録などに長年かけて蓄積された膨大な数の非構造化個人データを抽出できる権限を持つのも、ITチームです。では、なぜ多くの企業は、技術者が容易に反駁の余地のない事実を提供できるにもかかわらず、ビジネスパーソンに推測を依頼しているのでしょうか?
情報コミッショナーはプライバシー中毒者に12段階のGDPRプログラムを提供する
続きを読む
発見段階はさておき、データ保護体制の運用に向けてITチームと連携していくことがさらに重要です。例えば、個人情報アクセスリクエスト(SAR)について考えてみましょう。おそらく、SARを受け取った経験はほとんどないのではないでしょうか。なぜなら、わざわざ費用をかけて、自分に関するどのようなデータを保有しているのか尋ねるような人はいないからです。
さて、私は、個人情報へのアクセス要求を無料にすると突然要求の津波が引き起こされるという恐怖を煽る人々の理論に賛同しませんが、少なくとも GDPR が施行されてから最初の数週間は、これまでよりも多くの要求が寄せられることになると思います。
もちろん、SARを個別に手作業で処理することも可能ですが、技術チームに協力を依頼し、少なくとも作業の一部をスクリプト化してみてはいかがでしょうか。スクリプトからコアシステムへの問い合わせ(Excelへのデータベース接続など)ができれば、SARに費やす時間と労力を最適化できます。
もう一つ理解しておくべきことは、自分が考えている仕事のやり方と実際のやり方の間にギャップがないかということです。私のお気に入りの例はバックアップです。バックアップ戦略は文書化されているとしても、技術チームがどのようにそれを実装しているかを本当に理解していますか?ディスクからディスク、そしてテープへのバックアップ構成は実際にはどのように機能していますか?テープをオフサイトストレージに輸送するのは誰ですか?約束した通りにテープを破棄していますか?誰かの要請に応じてデータを消去した場合、技術チームはバックアップから復元する必要が生じた場合、本番システムからデータを再度削除していますか?
したがって、データ保護はIT部門の問題ではありませんが、IT部門が中心的に関与する必要があります。なぜなら、ポリシーや手順は経営陣やコンプライアンス担当者が策定しますが、その実装の中核を担うのは技術チームだからです。実際、IT部門を早期に関与させることで、ツールやデータが提供され、コンプライアンス遵守が容易になります。
そして、データの側面も重要です。コンプライアンスを遵守することと、コンプライアンスを定量化できることは全く別の話です。BS 10012(データ保護 - 個人情報管理システムの仕様)を読んだことがある人なら、9.1項は「監視、測定、分析、評価」についてよくご存知でしょう。
情報漏洩(あるいは漏洩の疑い)が発生した場合、被害を定量化する能力は不可欠です。当局に対し、誰が、何に、いつアクセスしたかを正確に示すことができれば、課される制裁措置を具体的に軽減することができます。また、通常業務を遂行している場合でも、通常業務を遂行していることを確信し、それを取締役会に示すことができるのは、非常に心強いことです。
GDPRとは?EUのプライバシー規制が迫る中、中小企業は危機的状況に陥っていることが調査で判明
続きを読む
これの多くは、システム ログを表示したり、SIEM のような設定を使用してそれらを照合してレポートしたりするなどの基本的なことを意味しますが、同様に、データ漏洩防止などの機能を実装して、企業に出入りするすべてのデータを監視し、自分と世界の他の部分との間の境界を越えてはならないものを見つけることも望んでいます。
GDPRプロセスへの技術者の関与は極めて重要です。ここで言う技術者とは、ITマネージャーやCIOではなく、日常的にシステム管理者、メール管理者、デスクトップサポート担当者など、現場の技術者のことです。彼らはシステムを熟知し、ユーザーを日々目の当たりにし、組織の技術世界に散りばめられた、あらゆる非標準的な奇抜な事柄を熟知しています。
GDPRの導入に携わる非技術者の方は、IT現場の担当者を十分に関与させているかどうかを自問してみてください。データの保持と廃棄に関する新しいポリシーを策定したとしても、現在使用しているテクノロジーでそれらを実装できるでしょうか?保有データの記録簿は作成したとしても、10年前の人々の受信トレイや個人ファイルストレージに数百ギガバイトもの非構造化データが眠っている可能性を本当に確信できるでしょうか?
実際にバックエンドの作業を行う人々と協力したことがない場合は、目指すものと技術的に可能なことの間にギャップが生じる可能性があります。
個人データが保存されているシステムを管理している技術者の方、GDPRの準備に関わったことはありますか?新しいポリシーをご覧になりましたか?策定時に相談されましたか?何か実装を求められたり、保護と測定に関して実現可能な方法を説明するよう求められたりしましたか?いいえ?そうであれば、質問してみるのが良いでしょう。侵害の結果としてインシデント対応手順が発動された時に初めて関わるのは、本当に避けたいものです。®
