EU一般データ保護規則(GDPR)で求められるのはデータの保護だけではない

2018年2月21日:トム・ビエンコスキー/製品担当ディレクター

今年の5月25日に施行されるEU一般データ保護規則(GDPR)によって、企業や組織は、EU市民の個人データを収集・処理・保護する方法において前例のない変化が求められます。

私はGDPRに関する情報にはいくつかの誤解があると感じています。第一に、GDPRの要求事項はEUに拠点を置く組織にのみ適用されるという誤解です。これは真実ではありません。GDPRはEU市民の個人データを収集・処理するいかなる企業にも適用されます。企業自ら直接扱うか、協力会社として間接的に扱うかは関係ありません。流通やヘルスケア、金融など多くの業種に影響がある全世界的な規制なのです。第二に、GDPRはデータの保護だけを求めているという誤解です。この規制の名称から誤解があるのも無理のないことですが、これも事実とは異なります。EU市民の個人データへの継続的なアクセスも保護すると言えばはっきりします。つまり、 “可用性” の保護です。この点について具体的に示します。

前文49項

GDPRの前文49項では「ネットワークおよび情報の安全性を確保する」目的のために、セキュリティーソリューションにおける適切な個人データの処理について定義しています。さらに、「これには、例えば、電子通信ネットワークへの無権限アクセスや悪意あるコードの配布を防ぐこと、また、“サービス拒否” 攻撃やコンピュータシステムおよび電子通信ネットワークシステムに対する被害を阻止することが含まれる可能性がある」と続きます。

本文第32条

本文第32条では、「現行の機密性、完全性、可用性ならびに処理システムおよびサービスの復旧を確実にする能力」、さらには「適時に可用性を復旧し、個人データにアクセスする能力」を求めています。このようにGDPRでは、可用性の保護の必要性が指摘されています。DDoS攻撃はあらゆる組織のネットワークとオンラインサービスにとって最大の脅威です。そしてDDoS攻撃は悪化の一途をたどっています。当社の「ワールドワイド・インフラストラクチャー・セキュリティー・レポート 第13版」では以下のように報告しています。

当社はGDPRが要求する可用性の保護に関してお客様を支援します。クラウドおよびオンプレミス対応のDDoS(および他の高度な脅威)保護製品とサービスを組み合わせて統合化および自動化する、業界で最も包括的なDDoS保護ソリューションを提供します。

本文第32条ではさらに、データ保護の「効果を定期的に点検、審査、評価するプロセス」を求めています。当社の製品は、ATLASが観測する全世界のデータやASERTの専門家による最新の教に関する知見を、定期的に自動で更新します。

こうした包括的で統合されたDDoS保護ソリューションを提供できる企業は他にありません。

GDPRがもたらす長期的な効果

最後にもう一つの誤解について。GDPRを遵守しなかった場合の新たな罰金や個人に対する補償に大きな注目が集まっていますが、重要なのは、GDPRが要求するセキュリティーを実践することでお客様やパートナーの信頼と信用をさらに強固にできる点です。将来のビジネスの成功には、個人データ、ネットワーク、サービスにおける可用性の保護が不可欠です。それはGDPRの施行に関係なく必要なことなのです

GDPRが求める可用性の保護に対応したアーバーネットワークスのDDoS保護製品およびサービスについては、GDPRチェックリストをダウンロードの上ご確認ください。