ブログの検索

コンプライアンスやリスクをDevOpsに組み込む – 2020年のトレンド #4
, , , ,

コンプライアンスやリスクをDevOpsに組み込む – 2020年のトレンド #4

Imperva CTOのKunal Anandは、当社の2020年のトレンドブログにおいて、完全に自動化されたプロセスによって、より迅速で低コストのコンプライアンスが可能になると予測しています。企業がソフトウェア開発ライフサイクル(SDLC)にセキュリティを組み込むにつれ、継続的インテグレーション-継続的デプロイ(CICD)のプロセスは、リスクを低減するとともに、セキュリティのコスト効率と拡張性を向上させるでしょう。

開発ライフサイクルが短いソフトウェアアプリケーションに切り替える企業はますます増えています。DevOpsプロセスの一部にコンプライアンスを組み込むことにより、市場における機敏性が増し、より効率的にリスクを管理できるようになります。

Dzone.comによると、「コンプライアンスをビジネス文化に組み込んだ企業は、市場機会を活かすうえで有利な立場に立てるだろう」と言われています。

現代世界におけるコンプライアンス

デジタル・トランスフォーメーションや、インターネット接続デバイスおよびアプリケーションの利用拡大により、データも急速に増大しています。組織が新たなビジネス機会の創出を目的として収集した個人情報を活用するのに伴い、データの量だけではなく、その価値も増大しているのです。

増え続けるサイバー攻撃から顧客データを保護するよう規制当局の圧力を受けている大企業にとって、膨大な量のデータは新たな課題となっています。

一般データ保護規則(GDPR)をはじめとする新しいデータ保護法によって、今日におけるデータの保管および共有の方法は著しく変化しました。米国でも、2020年1月1日に施行されたカリフォルニア州消費者保護法(CCPA)が導入されるなど、同様の傾向が広がっています。

個人情報の取り扱いについて、データ保護法は消費者自身に管理する権利を与えています。一方、組織は、顧客の個人情報を安全に保護および保管するよう万全を期すこと、顧客に対してデータの消去権を認めること(GDPR)、顧客に対して個人情報の売買に関する意思決定権を与えること(CCPA)など、数多くの義務を課されています。

さまざまなデータ関連規制に共通するテーマは、重要なコンプライアンス要件として位置づけられることの多い技術的なプロセスや手続きによる、業務の安定性とリスク低減です。GDPRの「プライバシーバイデザイン(設計段階におけるプライバシー)」原則の例を見てみましょう。この原則には、「企業は、データの安全性を守るために、技術的および組織的対策(TOM)を整備しなければならない」と記載されています。同様に、ニューヨーク州金融サービス局(NYDFS)の規制では、金融機関が顧客データおよび業務の安全性を守るために整備すべき複数の方針や手続きについて概説されています。

コンプライアンス違反にかかるコスト

Ponemon Instituteのレポートによると、組織がコンプライアンスに費やしたコストの平均は約550万ドルでした。一方、コンプライアンス違反によって生じたコストの平均は約1,450万ドルとなっています。

データが増大し続け、規制がさらに厳格になるにつれて、これらのコストは組織における技術革新や競争への対応の足かせとなるでしょう。こうした調査結果にもかかわらず、多くの企業は依然として、コンプライアンス部門を業務部門から切り離した組織体として管理しています。このようなケースは、特に大規模な金融機関において顕著です。これらの金融機関では、コンプライアンス部門をリスクの特定と低減という目的で管理するのではなく、「法的職務の実行部門」として捉えています。

消費者には、法令によって自身の個人情報の取り扱いを管理する権利が認められているように、その個人情報がセキュリティで保護され、ホスティング環境がコンプライアンスを堅持しているという確信を得る権利があるのです。

このようなことから、組織がDevOpsプロセスにコンプライアンスやリスク低減を組み込むことは、合理的だと言えるでしょう。

 

注目ウェビナー:ビジョンをもって2020年に挑む。Imperva CMOのDavid GeeとCTOのKunal Anandが、2020年に向けて注視すべきトレンドについて余すところなく討議しています。こちらからご覧ください。