企業環境からデータを消去する際に GDPR 準拠を維持する

2018 年に GDPR が導入されたことで、組織は消去ポリシーをよく見直す必要に迫られました。 GDPR は単なる「忘れられる権利」以上のものです。また、欧州連合内でビジネスを行うすべての企業、または EU 企業と外部からビジネスを行うすべての企業によるデータ漏洩の防止にも適用されます。ただし、正しいデータ消去プロトコルに関しては依然として多くの混乱があるようであり、組織はデータ侵害の危険にさらされています。このブログでは、アクティブな環境からデータを消去する際に、ビジネスのコンプライアンスを維持する方法を探ります。

第 32 条

第 32 条 GDPR では、企業は「企業内での個人データ処理の安全性を確保するための技術的および組織的対策の有効性について、定期的なレビューと評価を維持するための手順を導入した」必要があると述べています。適切な手順を実装していることを確認することは、データ処理だけでなく、使用中の IT ソリューション (ソフトウェアとハ​​ードウェアの両方) の選択と調達プロセスにも有効です。

GDPR:何をすべきか?

すべての会社の IT 担当者は、個人データが会社外に漏洩しないようにするために必要なすべての措置を講じている必要があります。 GDPR に従って取られるべき手順の一部は次のとおりです。

• 個人データの仮名化と暗号化
• 処理に関連するシステムとサービスの機密性、整合性、可用性、回復力を永続的に保証する能力
• 物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスを迅速に復元する能力;
• 処理の安全性を確保するための技術的および組織的対策の有効性を定期的にレビューおよび評価するプロセス

第 32 条のもう 1 つの重要な点は次のとおりです。

特に、送信、保存、またはその他の方法で送信、保存、またはその他の方法で個人データを不注意または違法または無許可で開示または無許可でアクセスするかどうかにかかわらず、処理に関連するリスク、特に破壊、損失、または変更を考慮に入れる必要があります。保護します。」

つまり、第 32 条は、組織が個人データを保持するテクノロジーを使用する際にすべてのリスクを考慮することを要求しています。組織がメディアを使用して機密データを保持する前に、責任ある従業員はデータ保護影響評価を完了する必要があります 個人の (データ) 権利に対するリスクを確認するため。

企業内でデータ漏洩が発生した場合は、漏洩発生から 72 時間以内に報告する必要があります。 .そうでない場合、罰金は厳しい 個人データの不正使用と同様に、最大 2,000 万ユーロの罰金または世界の年間売上高の 4% (いずれか大きい方) のいずれかが科せられます。

安全な消去は依然として問題です

実装から 2 年が経過しましたが、デスクトップ コンピューター、ラップトップ、外付けドライブ、およびサービスから既存のファイルを消去することを見落としたり、忘れたりしている企業もあります。これは多くの場合、正しいデータ消去方法の誤解と、アクティブな IT 環境でデータを消去できる効果的なツールへのアクセスの欠如が原因です。そのため、多くの組織の機密データは危険な状態に置かれ、侵害に対して脆弱になっています。

多くの組織にとって、データ消去は IT 部門のセキュリティ優先事項の最優先事項ではありません。今日のデジタル接続された世界でサイバー攻撃が不幸な現実になっていることを考えると、これは驚くべきことではありません。ただし、上記で説明したように、GDPR は、組織が適切で安全なデータ破壊の慣行を確実に実施することを法的に要求しています。

それにもかかわらず、多くの IT 部門は、「削除」と「消去」の違いに関する知識と教育が不足しています。 Blancco が実施した調査 - 「削除 vs 消去」:アクティブな環境でファイルを消去する方法では、400 人の回答者の半数以上 (51%) が、ごみ箱を空にするだけでデスクトップ コンピューターからデータを消去するのに十分であることがわかりました。ラップトップを永久に。同様に心配なのは、別の 51% が、コンピューターのドライブ全体のクイック フォーマットまたは完全な再フォーマットを実行すると、データを完全に破壊するのに十分であると考えられたことです。

データ消去に関する適切な専門知識と知識がなければ、組織は機密データを潜在的なデータ侵害のリスクにさらしています。

組織のデータ衛生を強化し、 全体的なデータ管理とデータ消去の慣行を改善するために、アクティブな環境からデータをサニタイズする際に役立つ以下のヒントをまとめました。

1. アクティブな安全な消去を自動化

各ユーザーは、システムからログオフするときにごみ箱でこれを実行する必要があります。このプロセスを自動化することにより、組織はデータとファイルの永続的かつ安全な消去を確認するために必要なデューデリジェンス手順を実行しています.これにより、ユーザーのラップトップまたはデスクトップからデータを安全に消去する際の不確実性やリスクが軽減されます。

2. 「空きディスク容量のシュレッド」操作をスケジュールする

組織が所有および使用する各ラップトップおよびデスクトップ コンピューターには、サービス ウィンドウまたはパッチがスケジュールされている場合に、この手順を含める必要があります。これを実行することで、システムのユーザーによって不適切または不完全に削除された残留アプリケーション データ (およびその他のデータ) を継続的にターゲットにします。

3. 一時ファイルを自動的に消去

消去プロセスを自動化すると、定期的に実行され、最適なセキュリティが保証されます。このようにして、機密情報が保存されている可能性のあるブラウザー キャッシュなど、システムに蓄積されて残っている可能性のあるユーザー データをターゲットにすることができます。

4. ローカルで作成および保存されたユーザー ファイルを削除する

ローカルで生成されたユーザー ファイルを一貫して削除し、従業員にデータを中央リポジトリにアーカイブするように奨励することで、データ侵害の可能性を防ぐことができます。これは、多くの組織内の IT チームを長い間悩ませてきた進行中のデータ管理の闘争です。

5. 「パワー ユーザー」にアクティブな消去を許可する

IT ポリシーでよく見られる資産は、システムからファイルを積極的に削除する権限を与えられた、組織内の「パワー ユーザー」のグループを選択して割り当てることです。特に個人が機密データを間違った場所に保存している場合は、会社のセキュリティに役立ちます。 「パワー ユーザー」は、誤って保存されたデータを対象とし、直ちに完全に削除する必要があります。

6. ファイルの消去を検証する証明書を取得して、規制へのコンプライアンスを確保します

データの安全で永続的な消去を証明する証明書と監査証跡を確実に取得することは、組織がデータ保持ポリシーと規制要件を順守していることを示すことができることを意味します。消去検証サービスは、組織がデータ消去戦略を検証するのに役立ちます。

会社の環境から安全にデータを消去する方法の詳細については、当社のデータ破壊スペシャリストにお問い合わせください。

写真の著作権:MichaelGaida / pixabay.com

https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/

CC0ライセンス