Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > EU一般データ保護規則コンプライアンス > SFTPはGDPRに準拠していますか?[SFTPをGDPR準拠にする方法]

SFTPはGDPRに準拠していますか?[SFTPをGDPR準拠にする方法]

by Vince Lau updated 1月 26, 2025 EU一般データ保護規則コンプライアンス
Reading Time: < 1 minutes

SFTPプロトコルをGDPRに準拠させる必要がありますか?ここでは、GDPR準拠を証明するために必要な要件を紹介します。

SFTPはGDPRに準拠していますか?いいえ、SFTP自体はGDPRに準拠していません。SFTPを準拠させるには、追加のプロトコル、テスト、コンプライアンスのためのアプリケーション、その他のセキュリティ対策が必要です。しかし、一部のベンダーは、完全に準拠させるのが容易なGDPR対応のSFTPを提供しています。

GDPRとは何か、そしてSFTPがコンプライアンスにどのように関与するのか?

GDPRは、消費者を保護し、個人情報に対する消費者の管理を支援するために導入されたEUのコンプライアンスフレームワークです。これらの規制は、ユーザー情報を扱うITおよびハードウェアに適用され、ユーザーが同意を拒否したり、ビジネスデータベースから個人情報を削除したりする権限を与えるためのコントロールを提供します。

したがって、これらのルールはファイル転送技術、例えばファイル転送プロトコルに適用されます。第32条では、消費者の個人情報を保存、送信、使用する企業は、合理的なビジネス上の懸念とリスク評価に対してバランスを取りながら、適切な技術的および組織的な保護策を講じる必要があるとされています。これには、暗号化や仮名化といった技術が含まれます。

これにより、通常のFTPは非準拠となります。米国およびEUのほとんどのコンプライアンスフレームワークでは、何らかの形での暗号化が要求されるため、ほとんどの企業はセキュアFTP(SFTP)を使用してファイルを転送しています。SFTPを使用してビジネスを行う企業(個人消費者情報を含むファイル転送およびサーバー保存)は、すでにコンプライアンスへの正しい道を進んでいますが、準拠を確実にするために追加のステップを踏む必要があります。

しかし、SFTP自体は完全に準拠しているわけではありません。暗号化を提供しているものの、SFTPサーバーが要件を満たさない可能性がある方法はいくつかあります:

  1. 暗号化が不十分である可能性があります。 SFTPにはSSH技術が含まれており、したがって何らかの形での暗号化が行われていますが、すべてのSFTPソリューションがGDPR要件に適しているわけではありません。
  2. SFTPサーバーが未テストまたは未承認のスクリプトに依存している可能性があります。 異なるプログラミング言語で書かれたワークフローが適切に保護されていない場合、ユーザーデータの不法な開示やコンプライアンス違反を引き起こす可能性があります。
  3. SFTPサーバーには適切な文書化と監査が付属していないことがあります。 GDPRは、特定の行動が取られたことを示す証拠を求めています。具体的には、特定のデータ使用に対する同意が与えられたことや、データ削除の要求が遵守されたことを示す必要があります。

SFTPの場合、GDPR準拠には、GDPRの下でデータ主体の権利を満たすセキュリティコントロールの深い理解と実装が求められます。

GDPR準拠のファイル転送

GDPR準拠のファイル転送は、組織が欧州連合の一般データ保護規則(GDPR)に違反しないようにするために従うべき一連の実践とプロトコルです。方法には、データの暗号化と復号化、データの保存と送信、データの破壊が含まれます。これにより、情報の機密性、整合性、可用性が確保されます。

GDPR準拠のファイル転送を使用することで、企業は法的義務を遵守し、使用しないことによる財務的、法的、評判への影響を回避することができます。規制上の罰則、顧客データの損失、顧客体験への悪影響は、GDPR違反による潜在的な財務的罰則です。さらに、企業は、違反による損害、例えば財務的損失や評判の損害に対しても責任を負う可能性があり、これらは組織にとって修復が困難です。

GDPR準拠のファイル転送を使用しないことによる財務的、法的、評判への影響は深刻です。非準拠に対する罰金は、1,000万ユーロから企業の年間総売上高の4%までの範囲です。さらに、GDPRの違反は法的措置につながる可能性があります。最後に、準拠しない企業は、修復不可能な評判の損害を被り、公共の批判やボイコットの対象となる可能性があります。

SFTPとGDPRのコンプライアンスに関するベストプラクティスは何ですか?

企業がSFTPの使用を準拠させるために取ることができるステップは何ですか?彼らは、要件を満たすことができる技術の採用に焦点を当てることができます。具体的には:

  1. データを保存および送信するための適切な暗号化標準を使用するソリューション。 GDPRの第5条および第6条は、情報が保護とプライバシーを確保できる技術で保護されることを要求しています。さらに、これらの条項は、データの処理がどのような状況でもデータのプライバシーを確保することを要求しています。これは通常、AES-256およびTLS 1.2以上を使用するSFTPのような技術を使用することを意味します。
  2. 監査ログを含める。 監査の具体的な要求はありませんが、特定の形式のインタラクションが満たされることが要求されています。特に同意です。監査ログは、コンプライアンス監査人に対して要件を満たしていることを示す証拠のトレイルを提供するのに役立ちます。GDPRの下でのログ記録は、他のコンプライアンス基準とは異なることに注意してください。すべてのログ記録方法がプライベート情報をキャプチャするわけではありませんが、多くの方法がそうであり、これらのログは他の情報と同じセキュリティコントロール(暗号化および認可の保護を含む)の下で保持される必要があります。
  3. データの可視性とアクセス性を提供するソリューションを活用する。 GDPRの第39条で概説されているように、組織はコンプライアンスを監視し、規制当局と連携し、従業員やその他の利害関係者がGDPRの下での責任を理解することを確保する責任を持つデータ保護責任者を持つ必要があります。機能的なCISOダッシュボードは、データ保護責任者のオフィスがコンプライアンスのギャップを理解し、コンプライアンスの破れに迅速に対応するのに役立ちます。

これらは広範に見えるかもしれませんが、GDPRへの最善のアプローチは、収集された消費者データが保護される必要があると仮定し、消費者のプライバシーとデータ削除の要求が尊重され、コンプライアンス基準の明確な管理機能があることを前提としています。

非準拠のペナルティは何ですか?

不適切に構成されたSFTPサーバーは、非準拠と深刻なペナルティへの道を開く可能性があります。これらは通常、非準拠の深刻度、影響を受けたデータユーザー、および状況を是正するために組織が取ったステップに基づいて整理されます。

すべての違反が最初に罰金につながるわけではありません。規制当局は、罰金を課す前に次のいずれかを行う可能性があります:

  1. 警告の発行
  2. 処理の一時的または恒久的な禁止の導入
  3. 問題の是正またはデータの削除の命令
  4. 他国への転送の停止

しかし、罰金の場合、GDPRはペナルティを2つの階層に分けています:

  1. GDPRの特定の要件を違反した場合、最大1,000万ユーロまたは年間総売上高の2%(いずれか高い方)。これには、第8条(子供の同意)、第11条(識別を必要としない処理)、第25条(処理されたデータが特定のタスクに関連していること)、第39条(データ保護責任者のタスク)、第42条(認証とコンプライアンス)、第43条(適切な認証機関との協力)の義務の違反が含まれます。
  2. 第5条、第6条、第7条、第9条の要件を破る場合、または下位階層の条項の意図的な違反の場合、最大2,000万ユーロまたは年間総売上高の4%(いずれか高い方)。ここでの主なペナルティは、データ処理の原則の破れ、ビジネス目的のためのデータの適切な処理、同意の破れ、データ主体の権利、または他国への転送に関連しています。

GDPRは重大なペナルティを課し、消費者のセキュリティとプライバシーを管理するために適切に設定されていないSFTPサーバーは、組織にとって資産ではなく、収益の大部分を失う可能性のある負債となります。

GDPR準拠を達成するための10ステップチェックリスト

チェックリストは、組織がGDPR準拠を証明するのに役立ち、規制に準拠するために必要なステップの包括的なリストを提供します。これには、GDPRポリシーの作成、個人データにアクセスする可能性のあるスタッフや請負業者のためのトレーニングセッションの実施、既存の契約をGDPR準拠に更新すること、データ転送と保存のための明確な手順を確立することなどが含まれます。チェックリストを参照することで、組織はGDPRに準拠し続けるために必要なステップを確実に実行し、データ保護のベストプラクティスに対するコミットメントを示すことができます。以下は、GDPRコンプライアンスプログラムを構築する際に使用できるサンプルチェックリストです:

  1. データ保護責任者を指名する: データ保護責任者(DPO)を任命し、GDPRの要件を理解し評価し、組織が規制に準拠していることを確認します。DPOは、データが安全かつ合法的に収集、使用、保存されることを保証する責任を負います。

    2. 例:小規模企業では、最高執行責任者がデータ保護責任者を担当しています。

  2. GDPRに焦点を当てたチームを任命する: 必要なGDPR要件を評価、準備、実施する責任を持つチームを作成します。

    3. 例:同じ小規模企業では、ITスタッフと法務アドバイザーのチームが協力して、必要なGDPR要件を評価、準備、実施するよう求められています。

  3. データ監査を実施する: 保持されている個人データが何であるか、どのように処理されているか、どのくらいの期間保持されているかを特定するためにデータ監査を実施します。

    4. 例:小規模企業のチームは、保存している個人データの種類、保持する目的、処理方法、保持期間をマッピングするスプレッドシートを作成します。

  4. プライバシーポリシーを更新する: 組織のプライバシーポリシーが、個人データの使用、保存、アクセス方法を明確に示していることを確認します。

    5. 例:小規模企業は、収集するデータ、使用方法、保持期間、データにアクセスできる人についての具体的な言語を含めるためにプライバシーポリシーを更新します。

  5. データ侵害通知計画を作成する: データ侵害が発生した場合に利害関係者に通知する計画を策定します。

    6. 例:小規模企業は、データ侵害が発生した場合に顧客、従業員、その他の利害関係者に通知する計画を作成します。

  6. データを保護するためのセキュリティ対策を採用する: 暗号化、認証手段、アクセス権など、データへの不正アクセスを防ぐための対策を実施します。

    7. 例:小規模企業は、顧客データベースへのアクセスに二要素認証プロセスを導入し、データの保存に暗号化プロセスを導入します。

  7. 従業員を訓練する: チームがGDPRについて十分に訓練され、個人データを扱う際の責任を理解していることを確認します。

    8. 例:小規模企業のITおよび法務チームは、GDPRの要件をレビューし、それが会社およびそのデータ収集および保存プロセスにどのように適用されるかを説明するトレーニングセッションを開催します。

  8. 顧客を教育する: 顧客が自分の権利を理解し、データのアクセス、削除、使用制限ができる方法を知っていることを確認します。

    9. 例:小規模企業は、GDPRの要件と顧客がデータのアクセス、削除、使用制限を行う方法を説明するウェブページを作成します。

  9. コンプライアンスを監視する: GDPRへの準拠を監視するプロセスを開発し、定期的にレビューして継続的な遵守を確保します。

    10. 例:小規模企業は、データ保護プロセスを定期的にレビューし、GDPRにまだ準拠しているかどうかを評価するシステムを作成します。

  10. 定期的にレビューする: GDPRプロセスをレビューして、継続的なコンプライアンスを確保します。

    11. 例:小規模企業は、ITおよび法務チームと定期的に会議を開き、GDPRの要件をレビューし、コンプライアンスを評価し、継続的なコンプライアンスを確保するために必要な更新を行います。

組織はKiteworks SFTPを使用してGDPR準拠を達成します

世界中の組織がKiteworks SFTPを利用して、EU居住者の個人識別情報(PII)を安全にGDPRに準拠して転送しています。

Kiteworksのプライベートコンテンツネットワークの一部として、Kiteworks SFTPは強化された仮想アプライアンス、スケーラブルなサーバー、およびすべてのユーザーと自動化されたアクションを追跡する集中ガバナンスを備えています。ファイル転送は、データの保存にはAES-256暗号化、データの転送にはTLS 1.2+で保護され、市場で最も安全な転送オプションの1つとなっています。

すべてのファイル活動、誰がいつ誰にファイルをアクセスし送信したかを含め、ログに記録され、組織はコンプライアンスを証明し、異常な活動を早期に検出し、法医学のための証拠の連鎖を維持します。プラットフォームはまた、オンプレミスおよびプライベートクラウド展開オプションをサポートしており、ファイル転送、ファイル保存、アクセスが専用のKiteworksインスタンスで行われ、データ主権の要件に従っています。

GDPRの他にも、Kiteworks SFTPは、Payment Card Industry Data Security Standard(PCI DSS)、International Organization for Standardization(ISO 27001、27017、27018)、Health Insurance Portability and Accountability Act(HIPAA)、Cyber Essentials Plus、FedRAMPなど、いくつかの他の規制基準をサポートしています。Kiteworks SFTPはまた、ファイルサイズやタイプの制限がなく、シームレスな自動化、セルフサービス/使いやすさ、自動化、中央管理を特徴としています。

Kiteworksは、組織とそのデータ保護責任者(DPO)に顧客のPIIに対する完全な可視性と制御を提供し、GDPRへの準拠を可能にします。

Kiteworks SFTPがGDPR準拠を達成するのにどのように役立つかについて詳しく知るには、カスタムデモを今日スケジュールしてください。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks