GDPR対策 対応ソリューション

GDPRとは

EU一般データ保護規則(General Data Protection Regulation、以下GDPR)とは、2018年5月25日に施行される欧州経済領域(以下、EEA(※))において個人情報とプライバシー保護の強化を目的とし、個人情報の取り扱いについて法的要件を定めた法規則です。日本企業であっても、EEA内の企業と取引をしたり、EEA圏内に現地法人、支店、駐在員事務所を置いたりすること、EEA圏内に現地法人、支店、駐在員事務所を置かない事業者であっても、インターネット取引などでEEA圏内の顧客情報を取得・移転する場合、GDPRに従う必要があります。

非常に複雑で大量な要件への準拠を要求しているGDPRへの継続的な準拠に貢献する、ManageEngine製品の活用方法をご紹介します。

※欧州経済領域(EEA 英European Economic Area):欧州自由貿易連合(EFTA)加盟国が欧州連合(EU)に加盟することなく、EUの単一市場に参加することができるように、1994年1月1日にEFTAとEUとの間で発効した協定に基づいて設置された枠組み。 スイスを除くEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーと、EU(欧州連合)に加盟する28か国を示す。

EU加盟28か国:ベルギー、ブルガリア、チェコ、デンマーク、ドイツ、エストニア、アイルランド、ギリシャ、スペイン、フランス、クロアチア、イタリア、キプロス、ラトビア、リトアニア、ルクセンブルク、ハンガリー、マルタ、オランダ、オーストリア、ポーランド、ポルトガル、ルーマニア、スロベニア、スロバキア、フィンランド、スウェーデン、イギリス

GDPR準拠により生じる効果

プロセスとアプリケーションをシンプルに

全社的データの一元管理と収集すべきデータの目的の把握によって、組織はデータアクセスと修正の要請を容易に処理できるようになり、セキュリティが強化されます。

信頼の獲得

顧客や従業員の個人情報を守るためには厳格な対応が必要です。データのプライバシー管理を真摯に行う企業は、社外からの信頼獲得につながります。

セキュリティ意識の確立

GDPRへの準拠は一朝一夕に行えるものではなく、継続的な改善プロセスです。そのため、改善を繰り返すことにより、社内におけるセキュリティ意識の定着を実現します。

GDPR準拠に向けたITの活用方法

  • 異なる環境から収集したログデータの一元保管、表示、監視、解析
  • リアルタイムのアラート機能で組織内のIT環境に生じている疑わしい動きを把捉
  • 生成されたログデータの完全性、機密性、セキュリティを守る監査システム
  • 個人情報保管用資産のセキュリティ確保する手段
  • 処理された全データの記録作成と管理システム、詳細なオンデマンドレポート
  • 特権アカウントや機密情報にアクセスする者を特定する機能
  • 個人情報の移転における適正な暗号化とセキュリティ
  • セキュリティインシデントが発生した場合の特定、応答、報告の機能
  • あらゆる個人情報や資産の監視システム
  • 社内環境に生じる脆弱性対策

GDPR要件に対応するManageEngine製品

GDPRの要件は長文であり難解です。この規制全体に対応できる単一ソリューションは存在しませんが、適切なITツールを組み合わせることにより、多くのGDPRの準拠要件に対応できます。

ManageEngine製品は、GDPRの条項にて提示されている以下の要件に準拠できます。

(原文はこちらをご参照ください。EU法データベース)

[個人データは] 特定された、明確かつ適法な目的のために収集されなければならず、これら目的と相容れない方法で更なる取り扱いがなされてはならない。ただし、公共の利益における保管 目的、科学的若しくは歴史的研究の目的又は統計目的のための更なる取扱いは、第89条第1項により、当初の目的と相容れない方法とはみなされない。(目的の限定の原則)」。

ManageEngine対応製品

FileAudit Plus(※) :アクセス監査レポートを利用して、不正なデータアクセス、収集、修正や削除を即座に発見。

Log360(※) :パッケージ済みアラートプロファイルを利用して、不正な動きを管理者へアラート通知。

「[個人データは] 正確であり、必要な場合には最新に保たなければならない。取り扱われる目的に照らして、不正確な個人データが遅滞なく消去又は訂正されるのを確保するため、あらゆる合理的な手段が講じられなければならない。(正確性の原則)」

ManageEngine対応製品

Desktop Central :社内の全デバイスのスキャンをスケジューリングし、継続的な個人情報の可用性と完全性を確保。

FileAudit Plus(※) :ファイル解析とストレージ解析レポートを利用して、古いデータや不正データの監視、削除。

Log360(※) :データベースを監査し、データ保存期間を特定。保存期間のしきい値に達した場合、即座に個人情報を削除。

「[個人データは] 当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。それは、無権限の又は違法な取扱いに対する保護、及び偶発的な滅失、破壊、又は損壊に対する保護を含むものとし、適切な技術的又は組織的対策を用いるものとする。(完全性及び機密性の原則)」

ManageEngine対応製品

Desktop Central :Exchangeの条件付きアクセス業務におけるサービスやデータにアクセスを試みているユーザー/デバイスを可視化。

EventLog Analyzer :個人情報の完全性が危ぶまれる状況が発生した場合、データ保護に関わる担当者やセキュリティ担当者へ通知。
:定義済みGDPRレポートテンプレートを利用して、個人情報を保存するシステムで生じた全ての操作および個人情報自体の変更を監査。

Log360(※)
:定義済みアラートプロファイルを利用して、不正アクセスがあると利害関係者にアラートを送り、被害を事前に阻止。
:機密ファイルやフォルダの完全性を確保し、重要なファイル変更があった場合には即座に通知。

「管理者は第 1 項の義務を負い、その遵守を証明可能にしなければならない。(説明責任の原則)」

ManageEngine対応製品

ADManager Plusのレポート機能 :任意形式でのエクスポート、または利害関係者へ定期的にメールでレポートを送付し、安全な処理業務を証明。

「取扱いの性質、範囲、文脈及び目的並びに自然人の権利及び自由に関するリスクの様々な可能 性及び重大性を考慮し、管理者は本規則に従って取扱いが実行されていることを保証及び証明するため適切な技術的及び組織的対策を実施しなければならない。これら対策は見直され、必要に応じて更新されなければならない。」

ManageEngine対応製品

Desktop Central :社内の資産やデバイスが、組織が定めるポリシーに準拠していることを定期的に確認。また、社内の機密文書を、限定されたユーザーやアプリケーションに対し、管理デバイスを通じて安全に配布。

ADManager Plusのレポート機能 :セキュリティ監査の際に必要なデータをレポート化し、指定拠点に複数のファイル形式でメール送付またはエクスポート。

「管理者は、デフォルトで各具体的取扱いの目的に必要な個人データのみが取り扱われることを 保証するための適切な技術的及び組織的対策を実施しなければならない。当該義務は収集された個人データの量、取扱いの範囲、保存期間及びアクセス可能性に適用される。特に当該対策は個人データが個人の介在なしに不特定多数の自然人にアクセスされないことをデフォルトで確かなものにしなければならない。」

ManageEngine対応製品

Desktop Central
:ユーザーからの要請があり次第、組織のネットワークから資産/デバイスの登録を解除。また、ユーザーに関するあらゆる形態の全個人情報をサーバーから削除し、そのデータへのアクセス許可も削除。
:コンテナ化機能によりモバイルデバイスにおける個人情報と法人情報の個別管理。組織によるアクセスを会社のワークスペースに限定。

Password Manager Pro 通知ルール機能において許可の変更イベントを監査することで、個人情報に関係する不正または無断の権限変更を検出。

ADManager Plusのレポート機能 通知ルール機能において許可の変更イベントを監査することで、個人情報に関係する不正または無断の権限変更を検出。

「各管理者及び、該当する場合、管理者の代理人は、管理下にある取扱い活動の記録を管理しなければならない。」

ManageEngine対応製品

ADManager Plus :社内で生じている個人情報関連の全ての操作の完全な監査証跡を出力。

Desktop Central :監査ログビューアーにおいて、GDPRにより義務づけられた全処理業務の記録を管理。

「到達水準、実施の管理費用、取扱いの性質、範囲、文脈及び目的、並びに引き起こされる自然人の権利及び自由に関する様々な可能性及び重大性のリスクを考慮し、管理者及び取扱者は、保護レベルをリスクに見合ったものにするため、適切な技術的及び組織的対策を実施しなければならない。」

(a) 個人データの仮名化及び暗号化

ManageEngine対応製品

Key Manager Plus(※) :多層な情報セキュリティ保護により転送データを保護し、公開鍵のインフラストラクチャーを容易に監視および管理。

Desktop Central :監査ログビューアーにおいて、GDPRにより義務づけられた全処理業務の記録を管理。

ManageEngine対応製品

Key Manager Plus:データ主体の本人の特定ができる情報へのアクセスを保護し暗号化。

FileAudit Plus(※) :個人情報を保管するストレージシステムと、個人情報を処理するサービス(またはアプリケーション)を継続的にモニタリングし監査。

Log360(※) :システムとサービスにおいてユーザーによる未承認のアクセスや不審な動きを監視。

ADAudit Plus :重要なリソース(ファイアウォールや、Active Directory、データベース、ファイルサーバーなど)に対するあらゆる変更を監査し、それらが検知され次第、リアルタイムでアラート通知。
(d)取扱いの安全を確実にするため技術的及び組織的対策の効果を定期的に点検、審査及び評価するプロセス。

ManageEngine対応製品

Desktop Central :組織のデバイスが組織の定めるポリシーに準拠し続けていることの定期的なチェック。

Password Manager Pro :特権アクセス許可を得た不正利用者による個人情報濫用の阻止。

Log360(※) :潜在的なデータ侵害を引き起こしかねない不正な動きを監視し、確実なセキュリティを実現。

EventLog Analyzer :個人情報を保存するシステムで生じた全ての操作および個人情報の変更を監査。

「適切なセキュリティレベルの審査にあたり、特に取扱いによって生じるリスクが考慮されなければならない。特に、偶発的若しくは違法な破壊、滅失、変更、移転、蓄積若しくはその他の取扱いがなされた個人データへの許可されていない開示又はアクセス。」

ManageEngine対応製品

Desktop Central :デバイスがサーバーに所定期間以内にログオンしない場合はアラートを出力。

Log360(※) :異なるソースからのセキュリティに関するデータを一元化・相関解析し、潜在的なデータ侵害を即座に検出、データ損失を回避。また、修正、削除、名前の変更、さらに許可の変更などを含む個人情報の変更を監査。

「管理者及び取扱者は、管理者又は取扱者の権限下で行動し、個人データにアクセスするあらゆる自然人が、個人データを管理者からの指示以外で取り扱わないことを確実にする手段をとらなければならない。ただし、EU法又は加盟国の国内法により要求された場合を除く。」

ManageEngine対応製品

Password Manager Pro :個人情報を扱うシステムやアプリケーションの管理者権限アクセスの管理、監視、監査。

Log360(※) ・ADManager Plus:権限を持たないユーザーによる個人情報へのアクセスを検出。

(1)「個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が 付いてから72時間以内に、第55条に従って個人データの侵害を管轄監督機関に通知しなければならない。ただし、個人データの侵害により自然人の権利又は自由に対するリスクが生じ得ない場合を除く。監督機関への通知が72時間以内になされない場合には、遅滞に関する理由と共に通知されなければならない。」

(2)「取扱者は、個人データの侵害に気付いた後、不当な遅滞なしに管理者に通知しなければならない。」

(3)管理者は、個人データ侵害に関わる事実、その影響及び取られた救済手段を含め、あらゆる個人データ侵害を文書で残さなければならない。当該文書は監督機関が本条の遵守を確かめられるようにしなければならない。

ManageEngine対応製品

Log360(※)
:DoS、DDoS、SQLインジェクションやランサムウェアなど周知の攻撃パターンを検出して抑止。相関ルールとアラートプロファイルのカスタム化によって、未知の攻撃パターンを検出し、個人情報を安全に保護。
:ログ検索にて、解析を行いやすくし、データ侵害が発生した場合には、攻撃元、影響を受けたデータとシステムや責任を負うべき当事者の特定。
:リアルタイム アラートコンソールと相関機能:ネットワークで発生したデータ侵害を即座に検出。
:網羅的レポート:全ての解析情報をエクスポートし、関係機関に提出可能なインシデントレポートを作成。

Password Manager Pro :特権IDへのアクセスとセッションを記録し、監査の対応への効率化。

※当該製品および機能は英語圏においてサポートサービスを提供しており、弊社日本法人にて日本語によるサポートサービスを提供しておりません。

GDPR対策を支援するコンテンツをブログにて提供中!

GDPR対策をDIYするブログ

【GDPR関連製品ページ】

免責条項: GDPRを完全に遵守するには、多種多様なソリューション、プロセス、人材、技術が必要です。上記の解決策は、IT運用管理ツールがGDPRの要件の一部を支援できるいくつかの方法です。ManageEngineのソリューションは、他の適切なソリューション、プロセス、および人々とともに、GDPRのコンプライアンスを達成し継続的な準拠に役立ちます。この資料は情報提供のみを目的として提供されており、GDPRの遵守に関する法的助言ではありません。

ManageEngineは、この資料の情報に関して明示的、黙示的、または法的な保証は一切致しません。