世界各地で、データ管理への要求度が高く、規制違反に対して厳しい罰則を規定する新しい規制が制定されています。個人データ、機密データを保存・処理する組織は、広範にわたるこれらの情報セキュリティ規制を遵守しなければなりません。コンプライアンスは、全世界的に、大企業にも中小企業にも要求されます。
独自のセキュリティ標準を作成し、サイバーセキュリティ情勢に合わせて更新していくのは、オーバーヘッドが大き過ぎる上、コンプライアンス証明も難しいのでお勧めできません。監査に備えるためには、組織が遵守するべき規制が何なのか把握し、遵守すべき規制の内容を理解している必要があります。経験が多い監査者、法律の専門家、IT管理者(または可能な限りそれに近いメンバー)で内部監査チームを編成することは検討に値します。
コンプライアンス徹底のためには、以下のような規制コンプライアンスを心得ておくのが得策です。
ヨーロッパ連合内に適用される統一されたデータ保護規制、General Data Protection Regulation (GDPR、一般データ保護規則)は、ヨーロッパ連合の在籍者に商品やサービスを提供する企業であれば、どこを本拠地にするかに関わりなく、この規制を遵守しなければなりません。GDPR は非常に厳しい規制で、プライバシー・バイ・デザイン(設計段階からのプライバシー保護配慮)、情報消去の権利、データ侵害通知、患者や顧客が医療データなどの情報を請求したときのデータ可搬性などが要求されます。ペナルティも非常に過酷で、GDPR コンプライアンス違反の制裁金は、最高2,000万ユーロ、または全世界の年間売上高の4%のいずれか大きい方の額に及びます。
PCI DSS (Payment Card Industry Data Security Standard、クレジットカード業界データセキュリティ基準) は、クレジットカード所有者のデータを送信、処理、および/または保存する加盟店、金融処理業者、POS ベンダー、銀行、信用金庫、その他の金融機関が満たすべき基準であり、ビジネスで何らかの方法でクレジット カード決済を扱っている場合、PCI コンプライアンスは実務上のスタンダードです。
米国の医療関係機関は、HIPAA (Health Insurance Portability and Accountability Act、医療保険ポータビリティ及びアカウンタビリティ法) に準拠しなければなりません。違反した場合、米国連邦政府から法的な制裁を受けたり、患者から民事訴訟で訴えられたりする可能性があります。HIPAA は広範囲の管理的、物理的、技術的保護手段を要求します。
COBIT (Control Objectives for Information and Related Technology 、情報および関連技術の管理目標の略語) は、IT 企業の管理とガバナンスに使用されるビジネスフレームワークです。管理手法と企業ガバナンスの最新の方法論を備え、情報システムの信頼性を高めるために、世界的に受け入れられている実践、原則、モデル、および分析ツールを提供します。
行政機関や企業の間で広く認知されている情報セキュリティ管理の国際規格 ISO/IEC 27001 は、全世界の組織が念頭に置く基準です。ISO/IEC 27002 は、27001 の情報セキュリティコントロールをサポートする、ベスト・プラクティスを集めたガイドラインとして位置づけられ、より包括的な実践のための規範として参照することが推奨されています。
ITIL (IT Infrastructure Library) は、IT サービスの選択、計画、提供、保守、および全体的なライフサイクルを標準化するために設計されたフレームワークです。実際のセキュリティ規定ではなく、効率を改善し、予測可能なサービス提供を実現することを目標としたフレームワークです。
現代のボーダーレス経済で事業を継続するには、国際レベルの視野でこれら様々な規制について認識しておく必要があります。世界各国や地域、あるいは業界で導入されているデータ保護規制をまとめた「データプライバシーとコンプライアンス 国際ハンドブック」も、是非ご参照ください。