アクロニス、 EU一般データ保護規則(GDPR)への対応について

欧州連合(EU)のEU一般データ保護規制(GDPR=General Data Protection Regulation)は2018年5月25日に発効し、EU内で事業を行っているすべての事業やEUの顧客に影響を与えます。新しい規則は、1995年に適用されたEUデータ保護指令に代わり、EU加盟国のデータプライバシー法を調和させ、EU市民の個人データを保護するように設計されています。


日本の企業にも影響があります
GDPRはEUで定められた規制ですが、日本の企業にも適用対象となりますのでご注意ください。
1. EUに子会社、支店、営業事業所などがある
2. 日本からEUに商品やサービスを提供している
3. EUから個人データの処理の受託を受けている

Acronisは現在、EUに多くの顧客を保有する企業としても、EUの領域で営業している企業に対しデータ保護技術を提供するベンダーとしても、GDPRの完全なコンプライアンスを公表するための正式な声明を準備しております。この発表には、新しい規制に従って、サービスプロバイダー、パートナー、エンドユーザーがデータにフラグを立て、ログを記録・保管し、削除できるようにする新しいツールセットが付随します。

主な用語と定義
新しい規制に何が伴うのか、そしてAcronisがビジネスをGDPRに準拠させるためにどのように役立つかを詳しお話しする前に、新しい規制の中で使用されている主要な用語と定義を確認しましょう。この段階では、このブログ記事は法的助言をするものではなく、一般的な情報の提供を目的としています。
・ コントローラ
「単独または他人と共同して、個人データの処理の目的と手段を決定する自然人または法人、公的機関、政府機関、その他の団体のこと」。この場合、あなたは EU内で事業を行っているか、 EUの顧客です。
・ プロセッサー
「コントローラに代わって個人データを処理する自然人または法人、公的機関、政府機関またはその他の団体」。これは、クラウドストレージプロバイダーおよび/またはデータ保護ベンダー(Acronisなど)です。
・ 個人データ
「特定または特定可能な個人に関する情報」 これはGDPRのフォーカルポイントです。 
データ主体
特定されたまたは特定可能な自然人
忘れられる権利
データ主体(識別された又は識別され得る自然人)には「自分の個人情報を消去し、処理されない権利」を持っています。つまり、インターネット上の個人情報について、データ主体が、データ管理者(検索エンジン事業者等)に対して、検索結果からの削除を求めることを指しています。
個人データ侵害
送信、保管またはそれ以外の方法で処理された個人データに対する偶発的もしくは違法な破壊、消失、改変、権限のない開示または アクセスを引き起こす安全性の侵害のこと。個人データ侵害があった場合、管理者はそれを認識した後72時間以内に、権限のある監督機関に通知しなければなりません。
サービス契約
コントローラとプロセッサー間のサービス契約。
データ保護担当者(DPO)
お客様の個人情報の保護に関するすべての問題を担当する新しい役職。
GDPRの主要な要件
GDPRは、EU内のすべての事業者、EU加 盟国の外資企業が欧州国境内のすべての個人データを保存し、(データ主体からEU外にデータを保管するような明示的な許可がない限り)処理することを要求します。
個人データは、最初の目的に必要な期間だけ保管することができ、新しい規則に従って保護する必要があります。コントローラとプロセッサーの両者は、データの暗号化と偽名化を含む「リスクに適切なレベルのセキュリティーを確保するための適切な技術的および組織的措置を実施する」ことが求められています(「個人データの処理により、追加の情報を使用せずに特定のデータ主体に起因するものであってもよい」)

また、GDPRは、コントローラがサーバーに保存されている個人データを識別し、要求されたときにその格納場所、暗号化または削除を確認するのに役立つ包括的な報告メカニズムも必要としています。また、外部監査人があなたのレポートを確認するための簡単な方法が必要です。

クラウドストレージとデータ保護ベンダーへの要件
GDPRは、クラウドサービスプロバイダーや Acronis(プロセッサー)などのデータ保護ベンダーを扱う組織(コントローラー)に新しいセキュリティーと契約上の要件を課しています。
コントローラとプロセッサの関係は、次の点で要約できます。
• クラウドサービスプロバイダーは、サービスが新しい規制の技術的および組織的要件を満たしていることを十分に保証する必要がある
• コントローラとプロセッサ間のサービス契約は、コントローラの同意なしに外注先の使用を禁止する
• サービス契約の終了時には、すべてのデータをクラウドから削除する必要があり、プロセッサは完了したという十分な証拠を提供する必要がある
• コントローラは、データ侵害事件を規制当局に報告する義務がある

Acronisのデータ保護ソリューションは、どのようにしてGDPRに準拠させることができますか?
Acronisは、適切なツールを使用して パートナーおよびエンドユーザーが対応する必要のあるデータにフラグを立てることを可能にします。Acronisはまた、EU市民のデータストレージおよび削除アクションを記録するツールを提供します。パートナーおよび顧客は、適切なデータにフラグを立て、新しいツールをレポートおよび管理に使用する責任があります。
Acronisパートナーとお客様は、 Acronisがデータそのものの可視性を持たないため、残りのコンプライアンスを処理する必要があります。すべてのデータは強制的に暗号化され、Acronisは暗号化キーを保持しません。しかし、新しいツールを使用して、個人データがまだ保存されているか削除されているかを報告することができま す。

新しいツールは、GDPRへの準拠に適した Acronisのデータ保護テクノロジーを補完します。
• データ格納場所の制御
Acronisのデータ保護ソリューション は、Acronisハイブリッドクラウドアーキテクチャの上に構築されているため、データの保存場所を制御できます。オンプレミスまたは特定のヨーロッパベースのデータセンターでは、保護されたデータをどうするかについて確認するステップを採用しています。
• データの暗号化
Acronisは、デバイス、転送中およびクラウドにおいて、非常に強力なデータ暗号化を提供します。プロセス全体が自動化され、ユーザーはキーを保持し、GDPRデータセキュリティ要件を満たします。
• バックアップ内のデータを検索する機能
Acronisでは、バックアップをドリルダウンすることで、ユーザーが必要な情報を簡単に検索することができます。
• 個人データを変更する能力
Acronisは、データの主体から要求された場合に、個人データを変更する方法を提供します。
• 共通フォーマットでのデータのエクスポート
Acronisテクノロジーでは、GDPR データのポータビリティ要件を満たすために、一般的で簡単に使用できる形式(例:ZIPアーカイブ)でデータをエクスポートできます。
• 迅速なデータ復旧
Acronisは世界で最も速いデータ回復技術を備えています。Acronis Instant Restore™のようなものは、WindowsまたはLinuxのバックアップをVMwareまたはHyper-V VMとしてストレージから直接開始することで、15秒以下のRTOを達成できます。データの移動は不要です。
• ランサムウェアに対する積極的な防御
予防措置を講じることは、あらゆるデータ侵害事件の義務的な報告を行うより簡単で費用効果が高くなります。Acronis Active Protection™は、ランサムウェアによる攻撃を検出してブロックし、影響を受けたデータを直ちに復元します。
• ブロックチェーンベースのデータ認証
Acronis Notary™のおかげで、保護されたデータは、ブロックチェーンベースの技術を利用し認証され、不変なデータ整合性の証拠を提供します。
 
Acronis Backup 12.5は、GDPRの適切な技術への適合を簡単に実現できる、オンプレミス、リモートサイト、プライベート/パブリッククラウド、モバイルデバイスなど、企業のIT環境全体を保護する簡単・高速 バックアップソリューションです。
ぜひお試しいただき、その目でご確認ください。