非構造化データでGDPRに取り組む方法
|
 |
GDPRは、個人データが保存されるすべてのタイプのシステムに適用されます。 ほとんどのGDPRプロジェクトは、構造化されたデータ、つまりデータベース、ドキュメント管理システム、CRMシステムから始まり、多くの場合それ以上先に進みません。 これらのシステムは一般にデフォルトで検索およびタグ付け可能であり、組織がPII(個人を特定できる情報)を構成するものを決定すると、ポリシーの実装は比較的簡単です。
非構造化データ(特にファイルデータ)は、すべて別の動物のようなものです。 さまざまな種類のファイルと形式があり、通常、データはさまざまなプラットフォームと場所に分散しています。 ファイルは必ずしも簡単に検索できるとは限らず、たとえコンテンツがファイルごとに異なって見えても、パターンを確立するのはより困難です。 それに加えて、ほとんどの組織は、ファイルがシステムまたはアプリケーションアカウントによって所有され、これらのファイルに関する情報をエスカレーションできるように階層構造が存在しないデータ所有権に関する適切なポリシーを欠いています。
非構造化データのGDPRコンプライアンスに取り組むには、次のことが必要です。:
- 組織の機密データとPIIの構成要素に関するルールを定義します。例えばマイナンバー、住所情報、契約など
- 組織の非構造化データが存在する場所、社内のファイル共有、SharePoint、OneDriveなどを理解する。
- 情報が適切な人物によって処理されるように、データ所有権のシステムを確立および維持します。
- このデータを定期的にスキャンして、機密データを含む可能性のあるファイルを検出します。
- 機密データをどのように処理するか、どのシステムに何を保持するかなどに関するポリシーを確立します。
- 識別されたデータにタグを付け、この情報を組織内に配信して、データ所有者自身が機密データに対してアクションを実行、移動、削除などできるようにします。
- 機密データに関する情報を集約し、Data Stewards、部門長、および幹部に広めて、ルールが守られるようにします。
- 個人に関するどのような個人データが保持されているかを個人に知らせることができるワークフローを作成し、それに基づいてそのデータを正確に削除する可能性があります。
Northernは、非構造化データに関連するGPDRコンプライアンスを以下のように支援することができます。:
- 環境の概要を説明します。例えば どのデータリポジトリにユーザー生成の非構造化データが含まれているか、誰がどのファイルを保存し、どこに保存されているかなど。
- たとえば最近の活動に基づいて、可能性のあるファイルと共有の所有者を見つける。
- ファイルのメタデータを収集して、潜在的な関心領域を特定します。
- ファイル内のテキストをスキャンし、特定の単語または正規表現を使用して、潜在的に機密情報を見つけます。
- データ所有者とデータ管理者に配布できる実用的なダッシュボードを作成します。
- GDPRおよびベストプラクティスに基づく機密データに関するポリシーの確立を支援します。
それほど単純ではありませんが、GDPRプロジェクトに非構造化データを含めることは、規制の要求に応えるために不可欠です。 非構造化データをより適切に処理することで、ROT(冗長、廃止、些細な)クリーンアップが可能になり、規制で規定されている範囲をはるかに超えてコスト効率が向上し、リスクが減少します。
