クラウド、位置情報サービスからソーシャルネットワーキングに至るまで、グローバル化と急速な技術発展は、民間企業や公的機関が収集し共有する個人データの規模を著しく増大させた。
GDPRは、1995年に制定されたEUデータ保護指令に代わり、2018年5月25日に施行される。GDPRはEUデータ保護規則を近代化し、現在EU加盟28カ国で施行されている国内法の寄せ集めに代わって、単一の調和されたEU法を確立するものである。
欧州委員会の司法・消費者局によると、GDPRによって法的な複雑さが軽減され、企業がEU全域で事業を展開しやすくなる結果、年間23億ユーロの経済効果がもたらされると推定されている。
GDPRは、各EU加盟国が管理監督当局を任命し、現地で実施される。また、この法律は、商品やサービスの提供に関連してEU市民のデータを保有または処理する組織や、EU域内の個人を監視する組織であれば、その組織がどこに拠点を置いているかにかかわらず適用されるため、その影響はEUの国境を越えて及ぶことになる。
Vectra AIはサイバーセキュリティチームを補強し、GDPRの遵守に必要な主要な技術的能力を提供する。
GDPRの概要:主な機能とメリット
GDPRの主な特徴は以下の通り:
- EU居住者の個人データは、それがEU域外であっても、どこに送られ、処理され、保管されるかにかかわらず、保護される。「個人データ」とは、特定または識別可能な自然人に関するあらゆる情報を意味する。
特定可能な自然人とは、直接または間接的に、特に、氏名、識別番号、位置情報、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つまたは複数の要素を参照して、特定できる自然人を指します。 - 組織は、個人データを収集し処理するために、個人から明示的かつ十分な説明を受けた同意を得る必要がある。
- 個人は、あるプロバイダーから別のプロバイダーへのデータポータビリティ、個人データの消去、およびプロファイリングの目的でのデータ使用に反対する権利を得る。
- 自分のデータがハッキングされた場合、個人はそれを知る権利がある。リスクの高い場合(例えば、個人情報の盗難が懸念される場合)、企業や組織はデータ侵害を72時間以内に個人に通知しなければならない。
個人情報漏えいとは、送信、保存、またはその他の方法で処理された個人情報の偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人情報へのアクセスにつながるセキュリティ違反のことである。 - ワン・ストップ・ショップ」原則の下では、複数のEU加盟国に子会社を持つ企業は、本社を置くか、主要な事業所を置く国の監督当局とだけ取引すればよいことになる。
- EU内で商品やサービスを提供したり、EU居住者の行動を監視したりする場合は、EUに設立されているか否かにかかわらず、いかなる組織もEUデータ保護法を適用しなければならない。
- データ処理者および管理者は、適切な保護措置を講じ、個人が強制力のある権利および法的救済手段を有する場合に限り、EU域外にデータを移転することができる。
処理者とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店、その他の団体をいう。
管理者とは、自然人または法人、公的機関、代理店、その他の団体であり、単独で、または他者と共同で、個人データ処理の目的と手段を決定します。 - GDPRの監督当局は、書面による警告、監査、および最高2,000万ユーロまたは全世界の年間収益の4%のいずれか大きい方の罰金を含む、さまざまな制裁措置を自由に講じることができます。以下のセクションでは、GDPRのデータ保護と影響評価の側面を強調し、VectraAI主導の脅威検知およびレスポンス プラットフォームがGDPRコンプライアンスにどのように貢献し、組織のネットワーク全体で継続的かつ自動化された脅威の監視と検出を提供することによって個人データの保護に役立つかを詳しく説明します。ネットワーク内の隠れたサイバー攻撃者の追跡を自動化し、アクティブな脅威を阻止するための迅速なインシデントレスポンス を可能にすることで、Vectraは数週間から数カ月かかる作業を数分に凝縮し、セキュリティチームがデータの盗難や被害を防ぐために迅速に行動できるようにします。
GDPRデータ保護の主な要件
GDPRは、権利と責任を網羅する強固な規制であり、これには、組織が "設計によるデータ保護 "と "デフォルトによるデータ保護 "を提供するという広範な要件が含まれる。
つまり、組織は、業務にセキュリティを設計し、ソーシャルネットワークやモバイルアプリなど、データ保護のセーフガードやプライバシーに配慮した初期設定が組み込まれた技術やサービスを利用することが求められている。
GDPRは、リスクに応じてどのようなセキュリティ対策が適切と考えられるかについて、具体的な示唆を与えている:
- 個人データを暗号化し、匿名化し、または個人名の仮名として数字やその他の識別子を使用すること。
- 処理システムとサービスの継続的な機密性、完全性、可用性、回復力を確保すること。
- 物理的または技術的な事故が発生した場合、個人データへの可用性とアクセスをタイムリーに回復すること。
- 処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテストし、評価し、評価すること。
さらにGDPRでは、データ保護責任者(DPO)の指定が求められている。この役割を担う個人は、組織内でのデータ保護の実施、遵守、報告に責任を負います。DPOは他の業務や義務を果たすこともあります。例えば、情報セキュリティ最高責任者もDPOになることができます。
Vectra AIがGDPRへの対応を支援
GDPRを遵守するには、適切なテクノロジーとプロセスを導入する必要があります。Vectra AIはサイバーセキュリティチームを補強し、GDPRの遵守に必要な主要な技術的能力を提供する。
Vectra AI は、継続的なノンストップのネットワーク・トラフィック監視、リアルタイムの脅威検知、トリアージ、インシデント報告を提供することで、データ保護をサポートします。Vectra AI 人工知能と攻撃者振る舞い アナリティクスを使用して、クラウド、データセンターのワークロードからユーザーやIoTデバイスまで、企業ネットワーク全体でアクティブなサイバー脅威を自動的に追い詰めます。
Vectra AIは、通常ティア1のサイバーセキュリティアナリストやインシデントレスポンス チームが担当する労働集約的なタスクの多くを自動化します。これらの作業を自動化することで、Vectra AIは、脅威の調査に費やす時間を最大90%劇的に削減し、セキュリティチームがデータ損失の防止と軽減に集中できるようにします。Vectra AI駆動型プラットフォームの主な機能は以下の通り:
- ラップトップ、サーバー、プリンター、BYOD、IoTデバイスなど、IPアドレスを持つ物理ホストと仮想ホスト間のインターネット接続トラフィックと内部ネットワーク・トラフィックを含むすべてのネットワーク・トラフィックを、デバイスの種類、オペレーティング・システム、アプリケーションに関係なく、継続的に監視および分析します。
- ディープ・パケット・インスペクションを実行するのではなく、パケットからメタデータを抽出することによって、ネットワーク・トラフィックをリアルタイムで可視化し、個人情報や機密性の高いペイロード情報を詮索することなく保護することができます。
- トラフィックが暗号化されているかどうかにかかわらず、隠れた未知の攻撃者を検出する振る舞い検出アルゴリズムで、キャプチャされたパケットのメタデータを分析する。
- リモートアクセス型トロイの木馬の使用、暗号化トンネル、ボットネット行動、ランサムウェア、内部攻撃者、標的型事前脅威などの攻撃行動を決定論的に特定します。
Vectra AIは、コマンド・アンド・コントロール(C&C)、内部偵察、横の動き 、そしてGDPRにとって重要なデータ流出行動など、攻撃のすべてのフェーズにわたって、時間をかけて脅威を持続的に追跡します。 - 攻撃を受けているホストデバイスと脅威の自動相関、ホストのコンテキスト、パケットキャプチャ、脅威の深刻度、確信度スコアを含む脅威検知の詳細。
- 高度なスキルを持つセキュリティリサーチャー集団であるVectra Threat Labs™の活動や、ローカル環境とグローバルトレンドから常に学習する振る舞い 検出アルゴリズムを活用した反復的な改善プロセスを通じて、適応力のあるサイバーセキュリティをサポートします。
Vectra AIはGDPRの主要要件をどのようにサポートしているか
以下の表は、Vectra AIがGDPR要求事項の特定の要素に対処するために組織を支援する様々な方法の詳細です。
Vectra AIは、当事者間で確立された慣行に違反する、または一致しない方法でデータが転送された場合、サイバーセキュリティスタッフに警告することで、データ取り扱い基準の実施を支援する。
Vectra AIは、脅威の前兆となる行動に関するアラートを提供することで、セキュリティ担当者が防御をすり抜けようとしているものを確認できるようにする。
セキュリティチームは、可能性のあるトリガー、根本原因、ビジネスへの影響、検証手順など、各検出について簡潔な説明を受ける。
Vectra AIはアプリケーション、ツール、システム間のコミュニケーションを常に監視している。
Vectra AIによるGDPR下の個人データ保護
EU加盟国全体でGDPRが統一的に適用されることで、企業はコンプライアンスに準拠したデータセキュリティ体制と違反通知手順を確立しやすくなるはずだ。適切なツールやテクノロジーを導入することが鍵となる。
残念なことに、サイバー攻撃の検知とレスポンス には時間がかかることが多い。M-Trends 2016のレポートによると、侵害が発見されるまで平均146日かかる。そして、そのうちの53%は、外部からの通知があって初めて発見される、と報告書は述べている。
VectraAI主導の脅威検知およびレスポンスプラットフォームは、脅威の通知とレスポンス プロセスを数週間から数日に短縮します。人工知能を搭載し、プロアクティブかつリアルタイムに脅威を特定します。
通常、ティア1のサイバーセキュリティアナリストやインシデントレスポンス チームが担当する労働集約的なタスクを自動化することで、Vectra AIは脅威の調査に費やす時間を最大90%劇的に削減し、セキュリティチームはデータ損失の防止と軽減に集中できるようになる。
効率的で経済的なVectra AI 、ITセキュリティ・チームはすべてのネットワーク・トラフィックをリアルタイムで可視化し、隠れた未知の攻撃者を発見し、セキュリティイベントのコンテキストをすぐに確認できるようになります。
サイバーセキュリティチームに、データ侵害が発生するかなり前に、攻撃の初期段階を特定し、それに対して介入する能力を与えることにより、Vectra AIはGDPR報告対象となるデータ侵害のリスクを低減する。
同様に、これらの同じVectra AIの検出とアラート機能は、評価に貢献し、GDPRコンプライアンスをサポートする適切な技術的サイバーセキュリティアーキテクチャの一部を形成する。
世界中の専門家や企業から信頼されています
よくあるご質問(FAQ)
GDPRコンプライアンスの主な構成要素とは?
GDPRの遵守には、明示的な同意の取得、データポータビリティの実現、72時間以内の違反の個人への通知、設計によるデータ保護の確保などの対策を通じて、個人データの保護を確保することが含まれる。組織は、データ保護責任者(DPO)を任命し、データ最小化の原則を遵守し、個人データを保護するための適切な技術的および組織的措置を実施しなければならない。
GDPR第25条の主な特徴は?
GDPR第25条は、"設計およびデフォルトによるデータ保護 "を強調している。これは、組織がデータ保護の原則を最初から処理活動に組み込み、必要な個人データのみを処理することを保証しなければならないことを意味する。データ主体の権利と自由を保護するために、仮名化やデータ最小化などの措置が求められる。
GDPRにおけるデータ侵害の報告プロセスとは?
GDPRの下では、データ侵害は、侵害に気づいてから72時間以内に関連する監督当局に報告されなければならない。報告には、情報漏えいの内容、影響を受けるデータ主体および記録、予想される結果、情報漏えいに対処するために講じられた措置または提案された措置を含める必要があります。違反が個人にとって高いリスクをもたらす場合は、その個人にも通知しなければならない。
GDPRに違反した場合の罰則は?
GDPRの不遵守に対する罰則は、最高2000万ユーロまたは組織の全世界年間売上高の4%のいずれか高い方の罰金を含む厳しいものとなる可能性がある。その他の制裁には、警告、譴責、処理活動をコンプライアンスに適合させる命令が含まれる。罰則の厳しさは、違反の性質、重大性、期間などの要因によって異なります。
GDPR対応においてデータ保護責任者(DPO)はどのような役割を果たすのか?
DPOは、組織のデータ保護戦略を監督し、GDPRへのコンプライアンスを確保する責任を負う。これには、データ保護影響評価の実施、GDPR要件に関するスタッフのトレーニング、コンプライアンスの監視、監督当局との連絡役などが含まれます。DPOは、データ保護をすべての処理活動に統合するのを支援し、関連する法的義務について助言します。
Vectra リアルタイムの脅威検知にAIはどのように役立つのか?
Vectra AIは、ネットワーク・トラフィックを継続的に監視し、人工知能と振る舞い アナリティクスを使用して脅威を特定し、優先順位を付けることで、リアルタイムの脅威検出を支援します。これには、隠れた攻撃者、異常なデータの動き、サイバー攻撃の兆候の検出などが含まれます。Vectra AIのプラットフォームは多くのタスクを自動化し、脅威調査に必要な時間を大幅に短縮し、迅速な対応を可能にします。
GDPRはEU域外の組織にどのような影響を与えるのか?
GDPRは、EU域外の組織がEU域内の商品・サービスの提供や行動監視に関連してEU居住者の個人データを処理する場合に影響を及ぼす。EU域外の組織は、多額の罰金や制裁を避けるために、EU域内の代表者を任命するなど、GDPRの厳しいデータ保護要件を遵守しなければならない。
設計上、そしてデフォルトでデータを保護するにはどうすればいいのか?
設計によるデータ保護では、ビジネス・プロセスやシステムの開発にデータ保護対策を組み込む。デフォルトでは、必要な個人データのみを特定の目的のために処理すべきである。これには、データ収集の最小化、アクセスの制限、データ保護のための仮名化や暗号化などの技術の使用が含まれる。
Vectra AIはどのように脅威の検知を自動化し、レスポンス?
Vectra AIは、AIを活用してネットワーク・トラフィックを継続的に分析し、悪意のある行動を特定することで、脅威の検出とレスポンス 。このプラットフォームは、リアルタイムのアラート、脅威の優先順位付け、各検出の詳細なコンテキストを提供し、セキュリティチームが迅速かつ効果的に対応できるようにすることで、手作業による調査に必要な時間とリソースを削減します。
Vectra AIはネットワーク・トラフィックを監視しながら、どのようにデータ・プライバシーを確保しているのか?
Vectra AIは、データパケットの内容を検査する代わりに、ネットワークトラフィックのメタデータを分析することで、データのプライバシーを確保する。このアプローチにより、個人情報や機密情報を侵害することなく、脅威を効果的に検知することができる。Vectra AIのプラットフォームは、サイバー脅威を示すパターンや行動を特定することに重点を置き、ネットワークを保護しながらプライバシーを維持します。