欧州連合の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などのデータプライバシー規制への準拠は、リモートワークフォースに対して異なるセキュリティスタンスを必要とします。リモートワークフォースを持ちながらコンプライアンスを確保するためのSplashtopの5つの実証済みベストプラクティスをお読みください。
リモートワークはなくなりません。最近のGartnerの推定によると、2022年初頭には知識労働者の51%がリモートで仕事をしているとされており、オミクロン変異株の世界的な急増により、その数は現実的にはさらに高くなっています。
リモートワーク条件下ではコンプライアンスがより困難になります。北米とヨーロッパの400人以上のITセキュリティ専門家を対象にしたSecurity Magazineの記事でのApricorn 2021 Global IT Security Surveyの結果を考慮してください。この調査は、過去12か月間のリモートワークにおけるセキュリティ慣行とポリシーについてでした。いくつかの結果はリスクを非常��によく要約しています:
回答者の60%が、COVIDによるリモートワークの状況が組織内でデータセキュリティの問題を引き起こしていると述べています。
38%の人がデータ管理が非常に難しいと述べています
データ管理の懸念にもかかわらず、約20%が自分の仕事用デバイスが家族の他のメンバーによって使用されたことを認めました
リモートワーカーのデータプライバシー規制への準拠は、ITチームの重点事項にはなっていません。2021年のHealthcare IT Newsの記事では、10のITチームのうちわずか2つが、リモートで長期間働く従業員をサポートするための十分なツールとリソースを提供していると述べています。この準備不足は、特にGDPRやCCPAなどの消費者データプライバシー法に違反するリスクを組織に与えます。
非準拠の影響
組織が個人識別情報 (PII) を適切に保護しなかったことで消費者に潜在的な害を引き起こしたと判断された場合、結果として多額の罰金、顧客の喪失、ブランドの大きな損害が含まれる可能性があります。確かに、多くの人がAmazonやH&MがGDPRの不遵守でそれぞれ€746百万と€35百万の罰金を科された高名なケースを思い出すことができます。しかし、わずか3年で、EUは欧州経済領域(EEA)と英国(Brexit後もGDPRルールを維持)で800以上の罰金を発行しました。
はい、小規模な組織も罰金を受けます。例えば、スウェーデンの医療提供者Capio St. Göranを考えてみてください。その病院の監査の結果、€2.9百万のGDPR罰金とブランドの損害を受けました。監査では、会社が適切なリスク評価を使用せず、効果的なアクセス制御を実施しなかったことが示されました。その結果、あまりにも多くの従業員が機密個人データにアクセスできました。
カリフォルニアのCCPAの下では、同じ種類の施行がすべての規模の組織に適用されます。2021年9月のTechTargetの記事は、カリフォルニア州が最近、カーディーラー、食料品チェーン、オンラインデートプラットフォーム、ペット養子縁組機関に罰金を科したことを指摘しています - 現代産業の巨人とは言えません。
結論として、リモートチームを管理する場合、個人データのプライバシー法を遵守するために、セキュリティポリシーと実践を調整するためのいくつかのステップを踏む必要があります。
幸いなことに、Splashtopは何千もの組織がリモートで作業できるようにしています。ここに、リモートワークフォースを持ちながらコンプライアンスを維持するためのSplashtopの5つの実証済みのベストプラクティスがあります。
GDPRおよびCCPAにおけるデータコンプライアンスの意味
GDPRとCCPAの両方が、企業が個人情報をプライベートかつ安全に保つことを要求しています。個人データを扱うビジネスプロセスは、データを保護するためのセーフガードを備えて設計および構築されなければなりません(例:仮��名化または適切な場合の完全な匿名化を使用)。データを管理する組織は、プライバシーを考慮して情報システムを設計しなければなりません。
GDPRに類似して、 2018年カリフォルニア州消費者プライバシー法(CCPA)の第55章 では、個人情報を特定の消費者または世帯と直接または間接的に関連付けられる、または関連付けることが合理的に可能な情報として定義しています。例えば、本名、別名、郵便住所、ユニークな個人識別子、オンライン識別子、インターネットプロトコルアドレス、メールアドレス、アカウント名、社会保障番号、運転免許証番号、ナンバープレート番号、パスポート番号、またはその他の類似の識別子などです。
規制は、オフィス内外を問わず、どの場所で働く組織の従業員にも適用されます。重要なのは、従業員が世界のどこで働いているかは関係ないということです。規制は、規制によって保護される消費者がEU圏、英国、および/またはカリフォルニアに住んでいる場合に適用されます。(ブラジル、南アフリカ、韓国、日本など、他の多くの国も2019年から2021年にかけて同様の規制を導入しています)。
ベストプラクティス #1: サイバーセキュリティポリシーを「リモートワーク」の現実に合わせて更新する
上記のデータが示すように、多くの従業員はデータセキュリティとデータ主体のプライバシー問題��に不慣れであり、彼らの行動がどのようにデータ漏洩を引き起こし、組織が保護しなければならない個人データを露出させる可能性があるかを認識していません。
従業員に情報を伝える最良の方法は、サイバーセキュリティポリシーを確立し、従業員にビジネスのデータを安全に保つ方法を指示することです。良いニュースは、ITセキュリティポリシーがシンプルな文書である可能性があることです。その存在理由を説明し、すべての従業員が従うべき具体的なセキュリティプロトコル(非技術的な用語で)を提供するべきです。また、理解に追加の助けが必要な従業員のための連絡先(メールまたは電話番号)を提供するべきです。
ベストプラクティス #2: 従業員を訓練し、ITがサポートできるようにする
従業員はサイバーセキュリティの中で最も弱いリンクであることが多いです。定期的なセキュリティトレーニングは、従業員が悪意のある攻撃から組織を守る方法について最新の情報を保つのに役立ちます。
アカウントとパスワードポリシー:すべてのユーザーに独自のログインを割り当て、強力なパスワードと2段階/多要素認証を通じてアクセスを付与します。
データセキュリティ管理: データセキュリティ管理には、最小権限の原則に基づく役割ベースのアクセス、アクセス監視、アカウントレビュー/インベントリ、ログ記録が含まれます。これは、すべてのユーザーが最小限のデータアクセスレベルを持っていることを意味します。
アクセス制御: アクセス制御は、データとシステムへの電子アクセスを管理し、権限レベル、知る必要のあるパラメータ、およびシステムにアクセスする人々の職務分離に基づいています。
セキュリティインシデント対応: 「セキュリティインシデント対応」手順は、Splashtopサービスおよび情報資産に関連するイベントを調査、対応、緩和、通知するために組織を支援します。
ベストプラクティス #3: データを転送中および保存中に暗号化しておく
GDPRのRecital 83は、個人データを転送中および保存中に保護することを要求しています。データは、ウェブサイトサーバーからユーザーデバイスに移動する際など、誰かがアクセスするたびに転送中であると考えるべきです。'Data at rest'は、デバイスのハードドライブやUSBフラッシュドライブに保存されているデータを指します。
従業員がリモートで作業する際にデータ保護を維持するための2つの鍵は、暗号化とアクセス制御です。
暗号化: Splashtopは、すべてのユーザーデータを転送中および保存中に暗号化し、すべてのユーザーセッションはTLSを使用して安全に確立されます。各セッション内でアクセスされるコンテンツは常に256ビットAESで暗号化されます。
アクセス制御:Splashtopは、データとシステムへの電子アクセスを管理するためのアクセス制御を実装しています。私たちのアクセス制御は、権限レベル、知る必要のあるレベル、およびシステムにアクセスする人々の職務分離に基づいています。
Splashtopは、正当なビジネスサービスの理由なしに�過剰なデータ収集を避けています。敏感なデータ/情報を収集しないことで、規制により簡単に適合します。私たちは、ユーザー名(メールアドレス)、パスワード、セッションログ(顧客がレビューやトラブルシューティングのために)などの限られたPIIのみを収集、保存、処理し、SplashtopはGDPRおよびCCPAガイドラインに従って顧客情報を販売しません。
ベストプラクティス #4: 地理的に特定のデータを独自のスタック内で処理する
ビジネスが規制されたゾーンのユーザーにサービスを提供している場合、最も安全な方法は、各規制ゾーンに特化したデータ/テクノロジースタックを作成することです。Splashtopはドイツに拠点を置くEUスタックを活用しています。これは、EU居住者に関連するデータ転送がEUの主権内に留まることを保証します(GDPRの厳格なルール)。
ベストプラクティス#5: セキュアリモートアクセスを使用する
リモートで働く人々は通常、 VPNとリモートデスクトッププロトコル(RDP)を使用して、仕事に必要なアプリやデータにアクセスします。これにより、サイバー犯罪者は弱いパスワードセキュリティとVPNの脆弱性を悪用して企業ネットワークにアクセスし、情報やデータを盗むようになりました。
SplashtopのリモートアクセスソリューションはVPNに依存していません。さらに、それはゼロトラストのアプローチに従っています。従業員がオフィスのコンピューターやワークステーションにリモートでアクセスするとき、彼らは特別なSplashtop接続を通じて入ります。企業ネットワークに属していない接続。これは、リモートデスクトップ上のデータ(例: Word ドキュメント)の閲覧と操作のみが可能であり、データが企業ネットワークの外に流出することは決してありません。ITセキュリティリーダーは、Splashtopを使用して、ファイル転送とリモート印刷の機能を有効または無効にする選択肢もあります。これらの選択肢はコンプライアンスのために強く推奨されますが、RDP/VPN戦略では存在しません。
Splashtopリモートアクセスは、デバイス認証、2段階認証 (2段階認証)、シングルサインオン (SSO) など、さらに多くのセキュリティ機能を導入しています。これらの最新のセキュリティ対策は、VPNアーキテクチャには存在しません。
予防は治療よりも簡単です。
これらのベストプラクティスが示すように、大規模な努力をせずにデータプライバシー規制に準拠するための5つの常識的なステップを踏むことができます。リモートワークが定着している中で、リモートワーカー環境で消費者データを保護することの利点は、「コンプライアンス違反」とされることの悪影響をはるかに上回ります。
