サプライチェーン内のGDPRコンプライアンスを協業を通じていかにして確かなものとするか

一般データ保護規則(GDPR)は、世界中のビジネスリーダーにとって懸念事項です。次世代の規制に対する認識は向上しており、CIOの67%がこの法律を明確に理解していると答えています。もちろん、これは今後の重要事項であり、年間売上高の最大4%またはデータ侵害後の2,000万ユーロのいずれか高い方の罰金が課せられることは、企業の成功の可能性に影響を与えるものです。

とはいえ、GDPR施行に向け積極的に準備している組織は当時43%にすぎませんでした。広く一般に公表されていない重要なリスクは、ネットワークデバイスのセキュリティであり、IPカメラなどのIoTテクノロジーを利用したさまざまなマルウェアの亜種が、より広範な攻撃の舞台となります。サイバー環境がほぼ毎日変化しているため、企業は、侵害の犠牲になった場合でも、デューデリジェンスが実施されたことを証明できるように、必要な手順を導入する必要があります。

リスクを軽減するためのサプライチェーンセキュリティの確保

監視業界では、アナログCCTVから、今日使用されているインターネットに接続するカメラへの重要な移行がありました。これにより、さまざまな環境の物理的な安全性とセキュリティが向上しただけでなく、分析とビッグデータによるビジネスインテリジェンスのレベルが向上しました。

多くの場合、問題はIoTテクノロジーの展開方法から発生します。最悪のシナリオは、資産と情報を保護するためにインストールされたIP対応の物理セキュリティシステムが、実際にはネットワークの最も弱いリンクになってしまい、攻撃者にネットワークの不正な領域へのアクセスを許してしまうというケースです。そのため、企業が直面する脅威の数が増え、攻撃ベクトルが拡大しているため、企業はサイバーセキュリティを確保するために、企業自身の4つの壁の、さらに先まで目を向ける必要があります。

違反が発生した場合、誰が責任を負いますか?

GDPRは、企業が被害を軽減するための最小限の基準に達するように設計されています。この規制は、企業が違反してはならないとは規定していません。前提条件の計画と調査が実施され、違反の可能性を最小限に抑えるためにコンプライアンスが達成され、企業が違反が発生した場合に効果的に対応するように調整されていることに限られています。

これは、サプライチェーン内の組織がGDPRの違反に対して直接責任を負わない可能性があることを意味します。その代わりに、個人を特定できる情報を保持している会社に責任が残ります。ただし、デューデリジェンスが実施あるいは証明された場合、組織がデータ侵害に遭い、その後GDPRの下で罰金が科せられた場合、実際にはそうではないのに技術に問題はなかったと主張しているサプライチェーン内の組織に責任が下りてくる可能性があります。

企業がサプライチェーンと連携して、セキュリティとベストプラクティスを全面的に確保する必要があるのはこのためです。サプライチェーンのすべてのステップでデューデリジェンスを実施することにより、負担はさらに軽減されます。GDPRコンプライアンスは、エンドユーザーだけが満たす問題ではありません。代わりに、ベンダー、メーカー、エンドユーザーがすべてサイバーセキュリティの有効性に責任を負う共同の取り組みにより、最終的に損害を与える侵害のリスクを最小限に抑えることができます。

最新の eBook をご覧になり、 IoTテクノロジー統合への安全なアプローチを実装する方法の詳細をご確認ください。

詳細については、強化ガイドをダウンロードしてください。

GDPRの映像監視への影響については、こちらも併せてご覧ください:GDPRホワイトペーパー