企業は GDPR への準備ができていると考えているかもしれませんが、従業員はまだ準備ができていません。

  • Sep 06, 2023

Egress Software Technologies による英国の調査によると、EU の組織は GDPR の期限に間に合うよう急いでいますが、従業員の半数以上が準備ができていません。

GDPR (一般データ保護規則) は今週 5 月 25 日に施行されますが、従業員の 57% はまだ施行していません 個人データを保護するために何をすべきかを知っていることが、従業員 1,000 人を対象に実施された OnePoll の調査によると、 ロンドン拠点 出口ソフトウェアテクノロジー.

トニー・ペッパー

トニー・ペッパー、Egress CEO

写真: 出口

Egress の CEO、トニー・ペッパー氏は次のように述べています。 声明: 「過去 2 年間、GDPR はデータ保護を取締役会の議題に押し上げ、テクノロジーとコンプライアンスを推進する上で効果を発揮してきました。 チームは、組織の準備が整っているかどうかを確認するために残業を続けています。」 しかし、彼は、「何かの間に懸念すべき断絶がある」と見ています。 企業レベルで合意した組織と、これらを実行する必要がある従業員のコミュニケーションと教育 変化します。」

調査によると、個人情報を共有する方法を提供されていた従業員はわずか 42% でした 情報を安全に保護する「電子メールの暗号化、暗号化されたファイル転送、安全なプロジェクト コラボレーションなど」 ツール」。

しかし、20% は「会社のドキュメントを共有するために個人のアプリや Web サービスを使用していることを認めています。 当然のことながら、これに関しては個人メールが先頭に立ち、回答者の 12% がドキュメントを迅速に共有する方法の 1 つとして個人メールを選択しました。 一方、他の回答にはソーシャル メディア (7%)、メッセージング アプリ (7%)、パーソナル クラウド (3%) が含まれていました。」 出口。

「この行為により、個人データは不正アクセスのリスクが高まり、組織は GDPR に基づくデータ侵害の責任を負うことになります。」

マーケティング部門は最も悪質な犯罪者です。なぜなら、マーケティング部門の従業員は、 個人データ (マーケティング回答者の 96%)、ソーシャル メディア アカウントを使用する可能性が最も高い (70%) パーセント)。

イギリスの情報によると、 情報コミッショナー局 (ICO)、報告されているセキュリティインシデントの多くは単純な人的ミスが原因です。 最も一般的なもの (以下の棒グラフを参照) は次のとおりです。

データが間違った受信者に投稿またはファックスされた。

書類の紛失または盗難。

データが間違った受信者に電子メールで送信された。

データの秘匿化に失敗した場合。

メール送信時にBCCを使用できませんでした。

1 つのアプローチは、Egress が販売しているものの 1 つである、暗号化された電子メールとファイル転送システムを提供することです。 Egress Switch はオンプレミスでクラウド ホストすることができます。 企業は暗号化されたメッセージやファイルを送信するためにサブスクリプションを支払いますが、受信者は Web ブラウザーや Web 経由で無料で送信できます。 デスクトップアプリとモバイルアプリ. さらに、自己識別するユーザーは、電子メールに応答するだけでなく、安全なシステムを使用して地方自治体などの加入組織にデータを送信できます。

Office 365 を使用している組織は、Egress 内で Office Online を安全に使用することもできます。 セキュアなワークスペースを切り替える.

Egress氏はZDNetに対し、「私たちは電子メールを置き換えたり、人々の働き方を根本的に変えたりすることを主張しているわけではありません。一般的にそれが成功するアプローチではないことは、過去の前例から分かっています。 ユーザーは単に自分の仕事を終わらせたいだけなので、セキュリティ ツールはユーザーの生産性と個人データの安全性の両方を可能にする必要があります。」

別のアイデアは、次のように使用することです DLP (データ損失防止) ソフトウェア.

Egress は、「電子メールを DLP ポリシーに対してスキャンして、メッセージと添付ファイルの暗号化を強制することができます」と述べています。 ユーザーはそうすることを忘れるため、機械学習を使用して、間違った受信者がメールに追加されたことを強調表示できます。 Eメール。 このようにして、スタッフが使い慣れたツールとプロセスを利用して、スタッフが仕事を継続できるようにすると同時に、個人データを危険にさらすことを回避することができます。」

しかし、あらゆるテクノロジー ソリューションには教育とトレーニングが必要です。

Pepper 氏は次のように述べています。「コンプライアンスの意識は非常に重要です。個人データを扱うすべての人が、個人データを特定して保護できる必要があります。 組織は、データ侵害を防ぐセキュリティ セーフティ ネットをスタッフに提供するためにできる限りのことを行う必要があります。 これは、スタッフの日常業務をサポートするための意識向上、トレーニング、適切なセキュリティ技術の取得を組み合わせることでのみ達成できます。」

英国の情報コミッショナー局 (ICO) は、次の棒グラフを作成しました。 最も一般的なデータセキュリティの失敗 報告。 ICO は最近オープンしました 個人情報漏洩ヘルプライン.

画像クレジット: ICO