Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

IAMがGDPRコンプライアンスに重要な理由

EUの一般データ保護規則(GDPR)は、EUの消費者が個人情報をより細かく管理できるようにすることを目的としています。これは、組織がこの情報を収集、処理、使用、保存、共有する方法を管理することで行われています。

EUの消費者のデータを収集する組織は、GDPRに準拠していなければなりません。このためには、適切な人のみがこのデータにアクセスできるようにする必要があります。これには、効果的で信頼性の高いIDおよびアクセス管理(IAM)が必要です。

IAMによって、組織は人、デバイス、さらにはソフトウェアに属する「デジタルID」の範囲を管理することができます。また、IAMにより、組織は顧客情報に対するユーザのアクセスを管理することもできます。これが、IAMが組織のGDPRコンプライアンスプログラムの重要な要素である理由です。

GDPRとは

GDPRは、世界で最も厳しい消費者プライバシー法です。これは、EUの消費者の情報を収集または処理するあらゆる組織に適用されます。ここにはEU内外の組織、大企業、中小企業(SMB)が含まれます。

GDPRは、これらの組織に対し、EU居住者および消費者のデータを保護するための十分な保護対策を導入するよう求めています。また、このデータに関するEU居住者および消費者の権利も指定しています。EU居住者および消費者は、企業によるそのデータの収集と使用に同意する権利に加えて、そのデータの消去を組織に求める権利(「忘れられる」権利)を有しています。

GDPRコンプライアンス違反の罰則

GDPRコンプライアンス違反により重い罰金や罰則が科されることがあります。そのような罰金の金額は年々増加しています。2018年5月から2020年1月の間に、EUのデータ保護当局は1億3900万ドルの罰金を請求しました。しかし、2021年1月から2022年1月の中旬までで、この金額は12億ドルに跳ね上がりました。

GDPR違反で最も目立ったものにGoogleが関与したケースがありました。2018年にこの法律が施行されてからわずか数時間以内に、このインターネットの大企業にはプライバシーに関する苦情が殺到し、調査の後、2020年6月にはフランスのデータ保護当局(CNIL)から5000万ユーロの罰金を科されました。

GDPRがサイバーセキュリティを向上させる仕組み

データ漏洩の頻度は増え、範囲は広がり続けています。このような事象は、データが漏洩したり盗まれたりした人や被害を受けた企業に影響を与えます。

データの漏洩は、影響を受けた組織の業務を妨げるだけではなく、その組織の評判や財務状況にも影響を与えかねません。これは、平均して以下のようなコストがかかるからです。

  • 修復費用は2020年の386万ドルから2021年の424万ドルまで増加
  • リモートワークによりデータ漏洩は107万ドル増加

GDPRだけでデータ漏洩を止めることはできません。ただし、GDPRは組織に以下の対応を求めるため、組織はデータセキュリティにより真剣に取り組まざるを得なくなります。

  • 顧客のデータとプライバシーを保護するために、強力なセキュリティ管理を導入すること
  • コンプライアンスを維持するためにこれらの管理について定期的に監査を実施すること

さらに、これらの規則は、誰がどのような種類のデータにアクセスできるのかを絶えず見直し、このデータが置かれている場所を評価し、管理することを組織に義務付けています。これらの要件を満たすためにIAMは重要な役割を果たしています。

データを保護し、GDPRコンプライアンスを達成するためのIAMコンポーネント

効果的なIAMシステムには以下のような複数のコンポーネントがあります。

  • 最小特権の原則(POLP): この原則は、業務を遂行するために必要な最小限の権限だけを組織がユーザにプロビジョニングすることを意味します。ここには、どのユーザがどのレベルのアクセス権を持ち、そのアクセス権がいつ付与されたかを組織が正確に把握することも含まれます。
  • 職務分掌: 顧客データの収集または処理に関連するタスクを実行するために複数のユーザを必要とします。このため、承認手順を単独で一方的に実行できないように、タスクの特定の手順を処理したり、相互に承認したりするなど、重要な権限に関連するタスクを実行するために複数のマネージャが関与する必要があります。
  • 認証: ユーザのIDを確認し、顧客データへのアクセスを管理するために、強力な認証技術が実装されています。
  • ライフサイクル管理: 収集および処理から配布および削除まで、顧客の情報のライフサイクル全体を適切に管理します。
  • ディレクトリの暗号化: すべての個人データが完全に暗号化されたディレクトリに安全に保存されます。

これらのIAMコンポーネントを同時に使用することにより、誰が、どのデータに、どのように、何の目的でアクセスできるのかを組織が確認できるようになります。これが、顧客データを保護するための最初のステップです。

IAMによりGDPRコンプライアンスを達成する方法

GDPRは、EU市民の個人データを収集および処理する組織に「説明責任」を求めています。このためには、このデータへのアクセスを管理するシステムを永続的に適用する必要があります。そして、これを可能にするのはIAMだけです。

GDPRは「設計によるプライバシー」についても言及しています。これは、強力な技術によってデータを保護するという意味です。IAMの出番です。

IAMを導入することで、ユーザは業務の遂行に必要な顧客データだけにアクセスできるようになります。このような管理されたアクセスによってデータ漏洩の可能性が低下し、データ漏洩による損害が制限され、高コストのGDPR違反を防ぐことができます。

これまでに説明したコンポーネントに加えて、以下の機能がIAMシステムに含まれる場合があります。

多要素認証

弱いパスワードや、再利用または共有されたパスワードは簡単に盗まれたり悪用されたりすることがあり、データ漏洩のリスクを高めます。このため、2021年に発生したデータ漏洩の61 %は、資格情報の盗難や不正利用が原因となっていました。

MFAはパスワードに固有のセキュリティ上の課題を解消します。MFAでは、ユーザが顧客のデータにアクセスするために複数の認証要素が求められます。悪意のある人物がユーザのパスワードを盗んだとしても、他の1つまたは2つの要素をさらに盗む必要があります。これは非常に困難です。このようにセキュリティを強化することで、顧客のデータを保護し、GDPRへの準拠を維持することができます。

適応型認証

適応型認証は、顧客のデータを保護するための信頼性の高い方法です。IAMシステムの一部として、企業のシステムに対するユーザのアクセス要求を分析します。次に、ユーザ要求の既知の特徴に基づいてユーザにリスクスコアを割り当て、このスコアに基づいて追加の資格情報を要求します。

ログインが疑わしいと思われる場合、システムはこのユーザに対してIDを証明するよう求めます。アクセスを防止することもあります。このような適応型認証により、顧客データの保護を向上し、GDPRコンプライアンスを維持することができます。

まとめ

所属する組織がEU市民のデータを収集、処理、または保存する場合、GDPRコンプライアンスはオプションではなく不可欠です。効果的なIAM戦略はこのコンプライアンスの達成に大きく貢献します。

IAMはGDPRコンプライアンスを自動的に保証するものでありません。ただし、データ管理の強化に役立つため、顧客データの保護を向上させ、セキュリティ、透明性、およびガバナンスに関するGDPRの目標を達成することができます。