Embed Size (px)
Citation preview
ソリューション概要
GDPR のリスク評価とコンプライアンスの課題の準備を RSA ソ
リューションで支援
迫り来る GDPR コンプライアンスに対処
GDPR の準備が不可欠EU GDPRにより、EU居住者の個人データを取り扱う組織には、 相互に関連する次のような義務が課されます。
• 規則に沿った PII の取り扱いと、 それを実証するためのポリシーと手順の採用
• 規則に沿った PII の取り扱いと、 それを実証するためのポリシーと手順の採用
• すべての処理作業のドキュメントの保持
• 個人データの電子的および物理的なデータ セキュリティ リスクの評価(転送、 保存、 または処理される個人データの不慮または違法な破壊、損失、 改変、 不正な開示、 またはアクセスを含む)
• リスクに対する適切なセキュリティ レベルを確保するための、 適切な技術的 / 組織的統制の実施
• リスク評価結果に沿った統制の有効性を検証するための手順の実施
• 機密性の高い個人データの処理計画に関するデータ保護影響評価の実施
• 情報収集時点と後日の問い合わせ時点で EU 居住者に明確に通知
• 個人の大規模な監視や特殊なカテゴリの個人データの処理がかかわる場合、 組織の EU GDPR 要件遵守を監視するデータ保護責任者を任命
ソリューション概要
2
EU (欧州連合) の GDPR (一般データ保護規則) が 2018 年 5 月に施行されると、組織がヨーロッパの居住者の PII (個人情報) を取り扱う方法が変化します。 この規則は、 EU 内における PII の保護強化を意図しており、 PII が EU 外のいかなる場所に転送されても適用されます。 GDPR の対象範囲には、 EU に拠点を置くすべての企業のほか、 EU 内の個人に関連した個人情報を管理または処理するすべての企業が含まれます。 これらの要件が組織の拠点の所在地に関係なく適用されることが、GDPR を真にグローバルなコンプライアンス要件にしています。
GDPR 要件の非準拠には、 重大な影響を被る可能性が伴います。 すなわち、 遵守しなかった組織には、 最高で年間全世界総売上高の 4% もしくは 2,000 万ユーロのうちいずれか大きい金額を上限とする罰金が課せられます。 したがって、 GDPR を遵守するための総合的なアプローチがなければ、 組織が利用できる人的資源と資本が早々に尽き、 差し迫っている規則への準備に余計に時間がかかってしまうでしょう。
一般的に、 GDPR、 そしてプライバシーに関する法規制と指示は、 組織に課題を提示します。 コンプライアンスの重要な取り組みすべてに包括的なアプローチが必要です。統制の要件 (法規制に明記されているか、 暗黙的に示されているかにかかわらず) を特定し、 リソースを先導して統制を実施し、 要件の継続的なコンプライアンスを評価して報告する戦略を導入するためです。 大半の組織にとっての課題は、 コンプライアンス要件を個別に管理しなければらない点です。 しかし、 組織に課される要件が増加していくと、 要件遵守の負担が業務に影響を及ぼす可能性があります。
GDPR の第 32 条には、 統制を適切に設計して導入できるように、 セキュリティ リスク評価プロセスの然るべき構成要素が定められています。 一般に、 効果的なリスク評価プロセスは、 リスクと内部統制との関連性の識別を促進し、 GDPR 遵守のギャップを埋め、 リスクの軽減に役立ちます。 このリスク評価プロセスと密接に関連しているのが、継続的なコンプライアンスの取り組みです。 これは統制を効果的に策定して運用するようにして、 GDPR で求められている組織的および技術的統制に準拠することと関連しています。
コンプライアンス プログラム管理では、 拡張性と柔軟性に優れた環境を確立するためのフレームワークを提供し、 組織のポリシーと手順をドキュメント化して管理し、 GRPRの遵守を実証する際に役立てる必要があります。 このフレームワークには、 ポリシーや標準のドキュメント化、 所有権の割り当て、 主要ビジネスの分野、 目標、 統制へのポリシーのマッピングなどが含まれます。 GDPR ポリシー プログラムを実装することで、ポリシーの例外やポリシーの再確認 / 承認の処理、 確立されたポリシーと処理手順に沿った統制環境の実証に加え、 ポリシー開発ライフサイクル プロセス全体を効果的に管理できます。
ソリューション概要
3
リスクの特定、 コンプライアンス作業の調整、 問題のエスカレーションを系統的かつ管理されたプロセスで行うと、 リスクを可視化し、 PII のリスクを遮断して対処し、 最終的には適切なタイミングで GDPR 準拠アクティビティを実証できます。 組織は、 新たに発生するリスクにすばやく対応し、 GDPR を遵守するためのコストを削減しながら、 よりプロアクティブで復元性の高い環境を構築できるようになります。
RSA : リスク評価とコンプライアンスに対処する総合的なアプローチを支援RSA は、 ビジネス コンテキストとセキュリティ プロセスを一意にリンクする Business-Driven Security™ ソリューションにより、 組織のリスク管理と最重要対象の保護を支援しています。 RSA のソリューションは、 ユーザー ID とアクセスの管理、 ビジネス リスクの軽減など、 高度な攻撃の効果的な検知と対処を支援するように設計されています。 これらすべては、 GDPR に対応するための総合的な戦略を開発するうえで不可欠なステップです。
GDPR 要件に沿って、 RSA ソリューションとサービスのポートフォリオおよびこれらのソリューションが、 組織の GDPR 対策にどのように役立つのか、 その詳細をご覧ください。
RSA Archer SuiteRSA Archer® Suite は、 業界をリードする GRC (ガバナンス、 リスク、 コンプライアンス) ソリューションです。 業界標準およびベスト プラクティスに基づいて設計 / 構築されたパッケージソリューションを使用することで、 さまざまな次元のリスクを 1 つの統合プラットフォームで管理することができます。 GDPR の準拠の確立と維持を支援する際に重要な役割を担うように作られた、 多種多様なユースケースを提供します。
RSA Archer Data GovernanceRSA Archer Data Governance ユースケースは、 個人データ処理の適切な統制の特定、 管理、 実装を支援するフレームワークを提供するよう設計されています。 処理アクティビティの正確なインベントリを維持し、 PII の使用にドキュメント化された統制を適用し、 データ保存に関する要件を管理するように支援します。
RSA Archer Privacy Program ManagementRSA Archer Privacy Program Management ユースケースは、 データ保護の影響評価を実施し、 データ保護機関への法規制とデータ侵害の通知を追跡することを目的としたグループ処理を可能にするように設計されています。最高プライバシー責任者、DPO (データ プライバシー責任者)、 プライバシー チームにとっては、 組織のプライバシー プログラムに関する GDPR 遵守の取り組みを実証する際に必要な、 情報のセントラル リポジトリが実現するというメリットもあります。
ソリューション概要
4
Issues ManagementRSA Archer Issues Management ユースケースは、 リスクと統制の評価と監査から生成される問題の管理を支援し、 GDPR プログラムで重要な役割を果たすように設計されています。 発見事項、改善計画、例外を管理するための統合ビューとワークフローを作成できます。 また、 Issues Management は企業階層を確立し、 説明責任を果たすための企業構造を構築します。
IT Risk ManagementRSA Archer IT Risk Management ユースケースを使用すると、 EU 居住者のデータの取り扱い、 処理、 保管、 転送にかかわる組織階層、 ビジネス プロセス、 IT 資産についての総合的なカタログを作成できます。 すべてのビジネス クリティカルな繋がりを規則義務に沿って適切にドキュメント化して把握できるように設計され、 該当する IT リスクをドキュメント化するための構造を確立します。 合理的な評価により IT リスクの特定に必要な時間を短縮し、 さらにリスクと内部統制との関連づけによって IT 統制要件の伝達を容易にすることで、 GDPR のコンプライアンス ギャップが減少し、 リスク戦略を改善できます。 このフレームワークは、 要件の変化に遅れずに対応したり、 最も影響の大きい IT リスクにリソースを集中させたりできるように設計されています。
IT & Security Policy Program ManagementRSA Archer IT & Security Policy Program Management ユースケースは、 拡張性と柔軟性に優れた環境を確立するためのフレームワークを提供するように設計され、 GRPR遵守に向けた組織のポリシーと手順をドキュメント化して管理することができます。 このフレームワークには、 ポリシーや標準のドキュメント化、 所有権の割り当て、 そして主要ビジネスの分野、 目標、 統制へのポリシーのマッピングなどが含まれます。 GDPRポリシー プログラムを実装することで、 ポリシーの例外やポリシーの再確認 / 承認の処理、 確立されたポリシーと処理手順に沿った統制環境の実証に加え、 ポリシー開発ライフサイクル プロセス全体を効果的に管理できます。
IT Controls AssuranceRSA Archer IT Controls Assurance ユースケースは、 体系的に GDPR 統制環境をドキュメント化し、ビジネス階層とビジネス プロセス レベルで統制の有効性を評価、レポートするためのフレームワークと分類法を組織に提供するよう設計されています。 IT 統制のテストのプロセスとワークフローを合理化することで、 標準化された評価プロセスを導入し、 自動化されたシステムから得たテスト結果と統合できます。 コンプライアンス評価中に特定された問題を一元管理し、 コンプライアンス ギャップや改善活動の追跡およびレポート作成が可能です。 コンプライアンス要件と内部統制とのマッピングを改善することにより、 共通の分類法と用語を使用し、 GDPR のコンプライアンス要件に関する情報伝達や報告を円滑に行うことが可能になります。
RSA Risk and Cybersecurity PracticeRSA は、ビジネス主導型セキュリティ戦略策定、高度なセキュリティ オペレーション センターの構築、 GRC (ガバナンス、 リスク、 コンプライアンス) プログラムの高度化を支援するための様々なサービスを幅広くご用意しています。 さらに、 RSA ソリューションに対するお客様の投資から最大限の価値を引き出すため、 弊社ソリューションを補完するサービスとして、 実装および実装後のサポートも提供しています。
RSA Risk Management Practice組織でセキュリティのベスト プラクティスに対する評価を開始するには、 RSA Risk Management Practice が最適です。 GRC (ガバナンス、 リスク、 コンプライアンス)プログラムを最適化するための戦略的なコンサルティング サービスを多岐にわたって提供 す る よ う に 設 計 さ れ て い ま す。 ま た、 RSA Archer Governance, Risk and Compliance ソリューションなど、 RSA の製品とサービスの計画、 実装、 導入、 アップグレードを支援するために、 スタッフの増強とサポート サービスも提供します。
まとめ世界中の組織が、 自社のビジネス、 データのプライバシー管理業務に GDPR が及ぼす影響を評価し準備しています。 2018 年 5 月の期限は迫りつつあり、 EU 内でビジネスを行っている組織や、 EU 居住者の PII を取り扱っている組織は、 この規則によって課される高額な罰金を避けるために、 追加のプロセス、 ポリシー、 テクノロジーの導入に取り組むことを余儀なくされています。 標準化されたリスク評価アプローチを最初に実装してから、EU 居住者の PII を保護するよう設計されたコンプライアンス プログラムを確立すると、 この規則の準拠に必要なフレームワークを確立できます。 RSA には、 リスク評価とコンプライアンスのプロセスに対処できるように設計された製品とサービスがあります。 このため、 RSA は GDPR 遵守の取り組みを支援する戦略的なパートナーとしての役目を果たすことができると確信しています。
Copyright 2017, Dell Inc. およびその関連会社。 All Rights Reserved. (不許複製 ・ 禁無断転載) Dell、EMC、 および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc. またはその関連会社の商標又は登録商標です。 他のすべての名称ならびに製品についての商標は、 それぞれの所有者の商標または登録商標です。 Published in the USA. 8/17、 ソリューション概要、 H16552-J
掲載される情報は、 発信現在で正確な情報であり、 予告なく変更される場合があります。
ソリューション概要
5
