リスクとコンプライアンスへの懸念は、かつてクラウド導入の大きな障害となり、意思決定者は機密データを他人に任せるのを心配していました。特に、オンプレミスのシステムの方がクラウドよりも安全だと考えている場合には、オンプレミスの方が良いガバナンス方法のように見えました。

しかし、近年では意見が変わってきており、企業はクラウドがオンプレミスのサーバーと同様に安全であると考えるようになりました。実際には、正しく利用することで、クラウドサービスはリスクを軽減し、規制上の負担を軽減することができます。

リスクとコンプライアンスの違い

リスクとコンプライアンス最終的にはデータセキュリティに関連していますが、両者はは全く同じものではありません。

  • コンプライアンスは、GDPRやHIPAAのような法律、あるいはFTC(連邦取引委員会)のような組織からの監視といった形式で、州や連邦政府、さらには超国家的な当局によって義務付けられています。コンプライアンス要件を満たしているかどうかを確認するために監査を受けることができ、コンプライアンスに違反した場合には厳しい罰則が科せられる可能性があります。
  • リスク管理とは、ビジネスデータを保護するために行うことです。リスクをどのように分析して軽減するかを決定し、違反にどのように対処するかを決定します。違反した場合の公式な罰則はありませんが、リスク管理が不十分であれば、信頼を失い、ビジネスに致命的なダメージを与えてしまう可能性があります。

要約すると、コンプライアンスは義務であり、リスク管理は意志です。しかし、どちらも最終的には同じこと、つまりデータを安全に保つことを目的としています。

リスクとコンプライアンスに対する現在の取り組みについての5つの質問

リスクとコンプライアンスは、間違ったやり方をした組織には重い罰則が科せられる、賭け金の高いゲームです。データセキュリティを担当している場合、またはリスクとコンプライアンスに影響を及ぼす可能性のあるプロジェクトを指揮している場合は、以下の5つの質問をする必要があります。

1) どういったデータを保存しているか?

データウェアハウスには、ウェブサイトの分析から人事記録に至るまで、多くのデータが含まれている可能性があります。リスクとコンプライアンス戦略を成功させるためには、データを分類し、関連するリスクとコンプライアンスの問題を理解する必要があります。

例えば、顧客データはデータ保護法に加えて、顧客のプライバシーを保護するための契約上のコミットメントに縛られ、医療情報の処理はHIPAA規則の対象となります。

2) どのようにデータにアクセスしているか?

データがその場にとどまっていることはほとんどありません。逆に、自動化された処理やユーザーのリクエストによって、データはデータベースから別のデータベースへと絶えず流れていきます。

リスクとコンプライアンスを管理するためには、これらのデータアクセス処理をすべて把握しておく必要があります。オンプレミスのアクセス回数はどれくらいでしょうか?リモートワーカーやオフサイトのシステムで実行されているクエリはどれくらいあるのでしょうか?データはクラウド上に転送されていますか?システムはAPIコールやファイルエクスポートを介してデータを共有していますか?データはどのように輸送中および停止中に保護されていますか?これらは、全てリスクとコンプライアンス戦略における基本的な質問です。

3) データはどこに移動するか?

従業員の一人が自宅でノートパソコンを開き、CRMシステムにログインし、顧客ファイルをチェックしたとします。そのデータはCRMからどのようにして彼らの画面に表示されたのでしょうか?

このプロセスは、そのエンドポイントと同じくらい重要です。EUの一般データ保護規則(GDPR)は、データ処理者とデータ管理者を区別する厳しい法律です。ビジネスオーナーであるあなたは、データの安全性に全責任を持つデータコントローラーです。CRMプロバイダーから従業員の利用しているブロードバンド会社まで、全てがコンプライアンスの義務を負わないデータ処理者となります。データ管理者であるあなたは、信頼できる処理者のみを使用することを担保する責任があります。

これは、リスク管理の重要な要素でもあります。特にデータが第三者によって処理されている場合は、セキュリティ上の潜在的な弱点を把握しておかなければなりません。

4) ローカルのコンプライアンス要件は?

米国に拠点を置く場合、関連するすべての連邦法を遵守しなければなりません。これには、HIPAAなどの特定の規制や、個人データの不正管理を処罰する連邦取引委員会のより一般的な権限が含まれます。

また、州の規制を遵守する必要がある場合もあります。ニューヨーク州にはSHIELDがあり、カリフォルニア州にはCCPAがあり、他の州も独自の法律をオンラインで導入しています。これらの州の顧客を扱っている場合や、国内の他の地域でデータ処理サービスを利用している場合、これらの規則の一部が適用される場合があります。

5) 国際的なコンプライアンス要件は?

GDPR のような法律は、世界のどこに拠点を置いているかに関係なく、すべてのデータ管理者に適用されます。つまり、米国に拠点を置いていても、フランスやドイツに顧客がいる場合は、GDPRに準拠していることを保証する必要があるということです。国際的機関は過去に、5000万ユーロの罰金を科せられたGoogleのように、外国企業を追及してきました。 

クラウドサービスはリスクとコンプライアンスにどのように役立つか?

上記の質問でリスクやコンプライアンス上の問題を確認した場合、データに対する新たなアプローチを検討する必要があるかもしれません。そこで役立つのが、以下の機能を備えたスケーラブルなソリューションを提供するセキュアなクラウドサービスです。

1) ソフトウェアアップデート

クラウドサービスは、オンプレミスのシステムのように定期的にアップデートする必要はありません。つまり、セキュリティ上重要なアップデートについて心配する必要がないということです。

最良のクラウドサービスは、コンプライアンス要件にも対応しています。たとえば、政府が財務報告基準に関する新しい規制を発令した場合、ほとんどのクラウドベースの財務ツールは、新しい規制に対応するために必要な機能を追加します。もしアップグレードされない場合は、企業はいつでもより優れたクラウドサービスに乗り換えることができます。

2) 安全なリモートアクセス

従業員のほぼ3分の2がリモートで仕事をしており、雇用主にとってはリスク要因が増えています。コンサルタントとの連携やサードパーティのサービスとの統合など、オフプレミスのシステムの使用やアクセスを許可する必要がある理由は他にもたくさんあります。

クラウド・アクセスは、機密データを安全なAPIの後ろに隠すことで、このようなリスクを軽減するのに役立ちます。APIを使用すると、データベースが直接公開されることはなく、すべてのAPIトランザクションが暗号化されます。また、各APIコールは詳細に記録され、監査証跡を提供することでコンプライアンスを維持するのに役立ちます。

3) プロセスの自動化

プロセスを自動化することで、人為的なミスやデータセキュリティプロトコルを遵守できないといった、手動プロセスに伴うリスクを排除することができます。クラウドサービスは、安全なプロセス自動化のための理想的なプラットフォームを提供します。

また、自動化は、リスクやコンプライアンスに関連する退屈で非生産的な作業の多くを排除するのにも役立ちます。例えば、財務部門には、不正行為を減らし、エラーを特定し、財務コンプライアンスの要件を満たすように設計された内部統制システムがあります。これらのコントロールは、手動で行うとコストがかかりますが、そのほとんどはある程度自動化することができます。あるレポートでは、コントロールの自動化により、投資収益率が最大250%になることを示唆しています。

4) アナリティクス

クラウドサービスを利用すると、膨大なデータセットに対して複雑な分析を行うことができます。アナリティクスは、ウェブサイト上での不審な行動など、リスクをもたらす可能性のあるものを特定するのに役立ちます。潜在的なリスクにフラグを立てて人間のオペレーターに注意を喚起し、さらに詳細を調査することができます。

現在、ほとんどの大手企業は、金融詐欺から DDoS 攻撃まで、あらゆる種類のリスクを検出するためアナリティクスに頼っています。オンプレミスのシステムでこのような分析を行うことは、特にビジネスの規模が拡大している場合にはほとんど不可能です。

5) 常時のサポート

オンプレミスのシステムの中には、限られたサポート契約が付与されているものもあります。また他のシステムは、現在は廃業したベンダーから販売されたものかもしれません。いずれにしても、何か問題が起きたときに電話をかけて助けを求めることはできません。

クラウドサービスでは、そのような心配はほとんどありません。ただし、実際に提供されるサポートのレベルはメンバーシップのレベルによって異なります。エンタープライズレベルのソリューションを使用している場合は、必要なときにいつでもエンタープライズレベルのサポートを受けることができます。

クラウドサービスを利用するデメリットは?

クラウドへの切り替えは、必ずしもリスクがないことを保証するものではありません。以下のような一般的な問題があります。

  • オンプレミスのシステムと同じレベルのアクセスと透明性が得られない
  • プロバイダが適切なセキュリティプロトコルを持っていない可能性があります。
  • プロバイダーは、お客様の規制遵守義務を理解していない可能性があります。
  • プロバイダがサービスの一部分を非準拠の第三者に委託する場合があります。
  • お使いのクラウドサービスがバックアップ計画が不十分で、データ損失のリスクがあるかもしれません。

エンタープライズクラウドサービスを利用するということは、他社とのパートナーシップを結ぶということです。どのようなパートナーシップでもそうですが、契約を結ぶ前に、相手のことをよく知り、信頼して良いかどうかを確認する必要があります。突っ込んだ会話をして、難しい質問をし、正しいパートナーかどうかを確認しましょう。

Integrate.ioはリスクとコンプライアンスにどのように役立つか?

Integrate.ioは、世界で最もよく知られ、信頼されているデータ統合プラットフォームの一つです。Integrate.ioが提供しているものをご理解いただければ、企業は安心いただくことができるでしょう。

  • GDPR、HIPAA、CCPAを含むすべての主要な規制への準拠
  • エンジニアのエリートチームによる定期的なアップグレード
  • クラス最高のネットワークと物理的なセキュリティを備えたSSL/TLS暗号化
  • ETLにより不必要なリスクを排除
  • 幅広いアナリティクスツールとの統合
  • 知識豊富な専門家によるマルチチャネルサポート

これらは、Integrate.ioが多くの企業にとって信頼できるパートナーである理由のほんの一部です。 以下からデモを予約して、Integrate.ioのプラットフォームをご自身で体験してみてはいかがでしょうか?