GDPRとは
欧州連合(EU)におけるデータ プライバシーの状況は、2018年以降、GDPR (General Data Protection Regulation:一般データ保護規則)により、大きく変わりました。EU居住者に対する物品やサービスの提供またはEU居住者に関するデータの収集や分析を行うすべての組織は、組織の所在地に関係なく、この規則の対象となります。
GDPRは、データ管理者およびデータ処理者の責任を明確に定義し、データ保護の取り組みを強化および統一することを目的としています。
GDPRの3つの中核概念
GDPRに準拠するには、データ管理者としての責任を認識するとともに、どのようなデータが規則の対象となるのか、データがどこに存在するのか、そしてデータ保護に関する具体的な義務について理解する必要があります。現在、最も重要なビジネス プロセスはデジタル化されており、コンプライアンスを維持するために理解し、責任を負う必要のある大量のデータとデータ フローで構成されています。
組織のデータ フットプリントやコンプライアンス状況は、GDPRをいくつかの中核概念に分けると理解しやすくなります。
組織全体において個人データとして分類する情報を定義し、サプライヤー、パートナー、サードパーティー ベンダーによるそれらのデータの保存や処理の方法を正確に把握します。このプロセスにより、データ フットプリントが明確になります。
データ フットプリントを把握したら、このデータを保護し、リスクを最小限に抑えるために必要なセキュリティ制御を特定します。このプロセスにおいては、サプライヤー、パートナー、ベンダーが使用する制御の監査だけでなく、内部に保存されているデータも考慮します。
GDPRで定められたデータ保存期間についての理解も必要です。多くの業界は特定の期間を定めた規制が適用されますが、社内のさまざまな要因に基づいて保存要件を定義する必要がある業界もあります。
GDPRコンプライアンスの取り組みを支援するZscaler
Zscalerはデータ処理者として、データ管理者であるお客様と連携し、お客様がGDPRコンプライアンスを維持できるよう支援します。
Zscalerは限られた個人データ(IPアドレス、URL、ユーザーIDなど)を保存することで機密性と可用性を確保しますが、特別なカテゴリー、つまり「機密」データを処理または保存しません。クラウド ネイティブなZscaler Zero Trust Exchangeプラットフォームは、すべての検査をメモリー内で実行するように設計されているため、トランザクションの内容がディスクに保存されたり書き込まれたりすることはありません。
Zscalerは制御、施行、ロギングのための3つの主要コンポーネントであるCentral Authority (CA)、ZIA Public Service Edge、Nanologサーバーを統合した、無限に拡張可能なコスト効率に優れた超高速のクラウド セキュリティ アーキテクチャーをゼロから構築しました。
Zscalerのサービスおよび契約はGDPRのポリシーに準拠しており、GDPRへの準拠を進めるお客様の支援にも積極的に取り組んでいます。データ管理者であるお客様のコンプライアンス義務と、データ処理者であるZscalerが提供する支援についての詳細は、こちらのPDF (英語)をご覧ください。
GDPRへの対応をサポートするZscalerのアーキテクチャー
トランザクション データはメモリーのみに保存され、ディスクに書き込まれることはありません。ログについては、お客様の選択に応じ、地域の規制に準拠する形で物理的な場所のディスクに書き込むこともできます。
Zscaler Nanologテクノロジーは、お客様のトランザクション ログにインデックスを付け、圧縮し、トークン化します。ログ履歴をすべて持ち、Zscaler Central Authorityにアクセスできるユーザーのみが実用的な個人データを取得できます。
Zscalerプラットフォームには、ネイティブTLS/SSLインスペクションが組み込まれています。インスペクションに容量制限はなく、トラフィックの増加に合わせて拡張できるため、優れたセキュリティ制御を実現しながら、暗号化された通信における個人データを可視化できます。
おすすめのリソース
