サイモン・タウンゼントが今のIvantiに入社したのは、LandeskがAppSenseを買収した昨年のことでした。ただしサイモン自身はIT業界で約20年のキャリアを持っています。長年のキャリアを通して培ってきた観察眼をもとに、昨今業界で最も話題となっている一般データ保護規則、すなわちGDPRについてサイモンは新たな見解を示しています。

2018年5月25日より施行されるGDPRは、場所を問わず欧州連合(EU)加盟国国民のプライバシーと個人情報を保護することを目的としています。この規則に違反した企業には、たとえ違反した企業がEU以外の国の企業であっても多額の罰金が科せられます。

質問:GDPRの重要なポイントを簡単にご説明いただけますか?
回答:すでに多くの方がご承知の通り、EUの一般データ保護規則、すなわちGDPRが2018年5月25日より施行されます。公にされているほぼすべての情報に目を通している方であれば、施行される理由やこの規則の適用対象についても把握されていると思います。基本的に、EU加盟国の全国民、そしてEU加盟国国民と取引を行うすべての企業がこの規則の対象となります。

具体的に言うと、個人を特定する情報(PII)を保護していない企業には、年収の4%相当または2,000万ユーロのいずれか高額である方の金額が罰金として科せられます。この罰金額は、かつてないほど高額で、罰金だけで企業やCIOにデータの取り扱い方法や保護方法の変更を検討させるのに十分な「痛手」となるでしょう。

質問:ありがとうございます。では、予定されているGDPR施行日までの準備期間はご自身の目にどのように映っているかお聞かせいただけますか?今の状況から思い出す業界の他のイベントはありますか?
回答:1999年12月31日に向け、2000年問題(Y2K)を不安視しながら、会社のシステムにパッチを適用するのに大忙しだった当時のIT部門の状況を思い出します。技術的に心配の種はありましたが、2000年問題は、IT部門がいかに自分達が直面した特定の課題や問題、脅威を誇張し、状況を深刻化するかを露呈した出来事でした。

IT業界が驚くほどのスピードで特定の話題の勢いに便乗し、追加の予算を得て、さらに多くのサービスを売り、新製品を発表した例は、数え切れないほどあげられます。ITの意思決定者か、ベンダーか、パートナーかを問わず、業界の誰もがやっていることです!「クラウド」「VDI」「セキュリティ」「ランサムウェア」「WannaCry」「Windows 10」「ITのコンシューマライゼーション」「モノのインターネット」すなわち「IoT」「人工知能」すなわち「AI」それぞれまっとうな課題ではありますが、これらはすべてIT業界が自分達と関連付けた業界の流行語でもあります。もっと正直に言えば、私たち業界の人間が過度に、好き勝手に使ってきた言葉なのです。

GDPRも早々にこれらの言葉に仲間入りしたトピックのひとつです。今日私がここにいるように、GDPRと自分達を関連付け、GDPRの遵守やより適切なデータ保護方針の導入を働きかけるよりも宣伝目的でGDPRを使っているIT企業、ベンダー、専門家があまりにも多すぎます。

質問:なるほど。では、企業はどのようにGDPRに対応していくべきだとお考えですか?
回答:1999年1月31日が期限だった2000年問題(Y2K)とは異なり、2018年5月28日はその日までに企業やIT部門が対策を取らなければならない期限ではありません。2018年5月28日は、GDPRの対する取り組みを完了する日ではなく、始める日だと私は考えています。

なぜなら、GDPRは、基本的な業務、IT部門の手順、そしてワークフローの変更を必要とするものだからです。GDPRは、商慣行の中にGDPR遵守を組み込むために、プロセスを変えることを企業に義務付けるものです。遵守要件を、「IT部門や企業が個人を特定できるデータに関連する変更が実施された場合にIT部門や企業が対応すること」と考えるのは間違いです。また、役に立つ技術もあれば、残念なことに役に立たない技術もあります。そして、遵守していることと保護されていることを保証する「特効薬」を提供してくれる技術はひとつも、そうです、ひとつもありません。

GDPRは、実のところ、ITの問題ではないのです。これはビジネスの問題です。IT部門ではなく法務部門よりの問題なのです。IT部門がやるべきことは、ソリューションの一部を作ることだけです。

質問:そのようにおっしゃいますが、ご自身もGDPRの勢いに便乗して今日お話しをされているのでしょうか?新しいEU指令をIvantiの宣伝に使っているのでしょうか?
回答:手短に言えば、はい、そうですね。特効薬はなく、1つのベンダーやテクノロジーだけでは不十分であると再三言ってはいますが、公正な立場で言うならば、当社にはこの機会を宣伝に使う権利があると思っています。事実Ivantiはサービス管理ソリューションとエンドポイントセキュリティソリューションの両方を提供しており、両方ともGDPRに対するソリューションの一部を形成する上で役立ちます。ただし、GDPRが懸念されるエリアにおいて、私がお話しているのは技術ではなく、規律や手法です。

質問:具体的にどのようなガイダンスを提供していただけますか?
回答:GDPRが施行された場合、時期を問わずいつでもアクセスでき、監査でき、提供できる状態にデータを維持する必要があります。データが保管されている場所を把握し、タイムリーにデータを取得できることが重要となります。データ損失やセキュリティ違反も同様にGDPRの対象となります。GDPRでは、インシデントを報告し、実施した予防措置と修復計画を提供するため、72時間の猶予が企業に与えられています。

簡単に言えば、基本的な感覚でデータを管理、保護することは、リクエストとアクションの繰り返し、つまり真のサービス管理プラットフォームが提供できることなのです。2017年1月にHeat softwareを買収したIvantiは、現在3,500社を超えるITサービス管理(ITSM)企業と取引しています。また、LandeskとHeatの合併以前から、IvantiにはITサービス管理プロセスのオートメーションと統合の分野において、企業を支援してきた長年にわたる実績があります。当社のソリューションを選択するかどうかに関わらず、現代のサービス管理は、企業がGDPRを遵守し、それに対応する方法の中心になくてはなりません。
さらに、GDPRでは、個人情報を「不正または違法な取り扱い、不慮の損失、破壊、損害に対する保護を含む…適切なセキュリティが保証される方法で取り扱うこと」が義務付けられます。違反した場合、そのようなセキュリティ対策を示すことが科される罰金の額に影響する可能性があります。対象となるデータを暗号化するマルウェアやランサムウェアの攻撃がはびこる現代においては、何よりもまずデータとエンドポイントを保護する優れた方法に企業が目を向けることが重要となります。

Ivantiは、米国インターネットセキュリティセンター(CIS)をはじめ数々の機関が支持している「転ばぬ先の杖」という見解が正しいと考えています。CISの推奨事項は、オーストラリア通信電子局(ASD)、国際標準化機構(ISO)、FBI、英国(UK)のナショナルサイバーセキュリティセンター(NCSC)など世界中の企業から支援されています。これらすべての機関が、アプリケーションとオペレーティングシステムへのタイムリーなパッチ適用、デバイス管理、管理者権限の制限により不正侵入の85%ほどを阻止できるという考えに同意を示しています。
これらの基本的なステップを取ることで、企業はこれまでよりもはるかに自分達を保護でき、少なくとも適切なレベルの基本的な保護を導入していることを示すことができます。繰り返しとなりますが、Ivantiはこの分野のソリューションを提供しています。攻撃対象領域を狭めるために、オペレーティングシステムやアプリケーション、そしてユーザーに対してパッチを適用する手段とそれらを管理する手段に対して投資することを私は企業に強く推奨します。

質問:非常に役立つアドバイスをいただきありがとうございました。最後に一言お願いします。
回答:多くの企業がそうであるように、まだGDPR遵守のための取り組みを始めていないとしても、慌てる必要はありません。同じ状況にある企業はたくさん存在します。GDPRはIT部門だけの課題ではなく、ビジネスの問題だということを認識してください。法務部門の社員と連携し、今すぐ自社の遵守状況を評価することから始めましょう。

質問:ご自身の見解を共有していただいたサイモンさんに感謝いたします。