EU一般データ保護規則(European Union’s General Data Protection Regulation、以下「GDPR」)の発効を受け、米国議会でもデータ侵害に関する規制の厳格化の動きが出ています。個人データ保護の強化と、データ侵害時の通知体制の強化への圧力がある中、トリップワイヤはサイバーセキュリティの専門家406名に対し、自社の準備状況をどう見ているかについて調査を実施しました。
調査の結果、GDPRの対象となる企業のうち、全体の3/4超(77%)がデータ侵害発見後72時間以内の監督機関への通知義務に対応できるとし、そのうち24%は顧客に対し24時間以内にデータ侵害の通知が可能だとしていることが明らかになりました。続く質問で、データ侵害が発生した場合の顧客に対する通知体制について、所属する組織の準備状況を聞いたところ、万全の準備が整い適切なプロセスが確立しているとしたのは全体の1/5弱(18%)で、大多数にあたる73%が「ある程度準備している」ものの、その場で臨機応変に対応せざるを得ない、と回答しました。
「とりわけサイバーセキュリティにおいては、その場対応というのは思慮の足りない考え方です」と話すのは、トリップワイヤのプロダクトマネジメント兼ストラテジー担当ヴァイス・プレジデント、Tim Erlinです。「データ侵害とセキュリティインシデントの大部分は、基本的なセキュリティ対策をしっかりとり、十分に評価・検証されている基本的なコントロールを実行すれば回避できるのです。GDPR元年を迎えた今、綿密な対応策を備えることなく業務を行うと重大な問題を招く恐れがあります」と述べています。
次に調査では、顧客の個人データの取り扱いについて、データ保存先の把握とデータの保護では、データ保存先の把握により自信があるとの回答が多いという結果でした。データ保存先の把握が「優れている」と答えたのは全体の1/3強(35%)だったのに対し、データの保護方が「優れている」と回答したのは1/5強(21%)という結果でした。
また、本調査では、回答者の大半が万全な準備が整い、あらゆるセキュリティ侵害に対応可能な状態にあるとは感じていない、ということも分かりました。IT、財務やコミュニケーションなど部門間を横断する対応体制がしっかり確立されている、と回答した人は1/5未満(18%)であった一方で、3/4(73%)が顧客の個人データの保護が十分でないとし、また、セキュリティ違反の結果生じる制裁金の準備金の用意があると回答した人はわずかに1/5(22%)でした。
Tim Erlinは以下のように述べています:
「十分に評価検証された多数のセキュリティ対策ガイドラインが関連機関から発行されています。これらは、セキュリティインシデントや、特にGDPRの準備に不安を抱える組織にとって有用です。GDPRは欧州連合(EU)に所在するデータ主体の個人情報を処理する世界中の企業に適用されるため、グローバルビジネスの大半がその対象であり、準備に不安を抱える組織は少なくありません。自社のニーズに対応したGDPR対策用のリソースはなにか即刻調査し、高額な制裁金のリスクを回避してください。」
