EMCジャパン RSA事業本部は12月14日、GRC(ガバナンス/リスク/コンプライアンス管理)プラットフォームの最新版「RSA Archer Suite v6.3」日本語版を発表した。GDPR(EU一般データ保護規則)を含むプライバシー法令への対応ソリューション(ユースケース)が追加されており、企業に求められる個人情報にまつわる運用管理体制や実施プログラムの管理を支援する。2018年2月より提供開始。
EMCジャパン RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャーの上原聖氏
EMCジャパン RSA事業本部 事業推進部 マーケティング部 部長の水村明博氏
Archer Suiteは、IT/セキュリティリスク管理、オペレーショナルリスク管理、コンプライアンス、外部委託先管理、事業継続管理(BCP/IT-BCP)、内部監査など、GRC全体を包括的にカバーするプラットフォーム。顧客企業は自社の目的に応じて、このプラットフォーム上で動作する対応ユースケースを導入する。
今回の新版では、「RSA Archer Data Governance」と「RSA Archer Privacy Program Management」の2つのユースケースが追加された。これにより、EUのGDPRやシンガポールの個人情報保護法(PDPA)など、各国/地域で制定されているプライバシー法令順守を支援する。
「RSA Archer Data Governance」のダッシュボード例
Archer Data Governanceは、個人情報の処理における適切な統制の特定/管理/実装を支援するユースケース。GDPRのコンプライアンスにおいては、対象となるデータやそれを扱う処理業務の目的/内容、セキュリティ対策などを正確に把握し、説明責任を明確化する必要がある。同ユースケースでは、対象データや処理業務の一元的なカタログ管理、通知/同意文面のライブラリ管理、カタログと連携したデータ保持期間の管理などの機能が提供される。
「(Data Governanceは)簡単に言うと、対象データのライフサイクルに沿ったログをすべて取得していくようなイメージ。Archerプラットフォーム上でワークフローを回し、個人情報の取り扱いを集約させることで、データをどこから持ってきたのか、どこを改変したのか、どこに持っていくのか、といった記録を保持する。さらに、当該個人情報がどのビジネス、どの委託先にひも付いているのかも一箇所で把握可能にするので、監査やインシデント調査などにも有益」(RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャーの上原聖氏)
「RSA Archer Privacy Program Management」のダッシュボード例
もうひとつのArcher Privacy Program Managementは、データとその保護に関する影響度評価を実施し、監督機関とのコミュニケーションやデータ侵害発生時の通知履歴管理を目的としたユースケースとなる。プライバシー保護の取り組みを総合的に管理する“中央リポジトリ”として機能する。
「(Privacy Program Managementは)社内規定を作り、それを順守させ、影響度評価を行い、コントロールを行うという一連の統制活動がうまくいっているかどうか、それを回していくためのユースケース」(上原氏)
2つのユースケースにより構成されるアーキテクチャ。黄色部分のデータ管理と水色部分のアセスメント/テスト支援を提供する(ピンク色部分は要求事項、緑色部分はこのユースケースで実現する項目)
発売予定日は2018年2月1日。価格体系は「買取」「年間契約(月額ライセンス)」の2種類があり、いずれもユーザー数単位での設定。Data GovernanceとPrivacy Program Managementを2000ユーザー/買取した場合の参考価格(税抜、保守別)は、2005万5000円。
上原氏は、2018年5月施行のGDPRではEU域内に居住する個人の情報を保護する取り組みが厳しく義務づけられているが、EU域内に事業拠点がなくてもインターネットサービスの提供相手がEU域内の個人であるケース、欧州の事業拠点で勤務するスタッフがいるケースなどが見落とされがちであることを指摘。「どんな企業でも、まずは自社にどれだけ影響があるのかをアセスメントすることが必要だ」と述べた。
また同社 マーケティング部 部長の水村明博氏は、近年では大手企業だけでなく中小企業でも国際進出が進んでおり、現地法人へのガバナンス、コンプライアンス対応も必須であることを説明。RSAではArcher以外にも、データ保護とデータ侵害可視化の観点で「RSA NetWitness Suite」、プライバシーデータへの強固なアクセス制御を可能にする「RSA SecureID」といったソリューションが提供可能であると語った。
