日本では、個人情報保護法が改正され、海外ではEEA域内において2018年5月にGDPR（一般データ保護規則）が施行された後、複数の国においてGDPRの要求事項と同様のものが求められることが多くなりました。さらに、中国サイバーセキュリティ法等データを国内に保存することを求めるいわゆるデータローカライゼーションが要求事項に入ることもあります。このように、事業を展開している国によってそれらの国の個人情報保護法が求める要求事項が異なるため、適切な対応を行っていくことが必要となります。

クラウド移行に伴う個人情報保護対応

顧客情報を扱うシステムや社内で個人情報を扱うシステムを利用する場合、個人情報を遵守する必要があります。DXCは個人情報の要求事項と現在の環境を管理態勢やシステムの整備状況の面から把握することで、プロセス面やシステム面から分析し、差分の分析結果を報告します。また、分析結果に基づいたプロセスの整備やポリシーの策定を実施します。

アピールポイント

• クラウド環境に新規構築したシステムについて個人情報保護法への対応要否が確認可能
• 個人情報漏洩防止のためのセキュリティ対策を精査
• 分析結果に基づいたプロセスの整備やポリシーを策定

NIS2指令対応

2024年10月からEUで施行されるNIS2は幅広い業務が対象であり、違反すると多額の罰金が科されるため対応は必須です。DXCはNIS2指令の要求に対応できるように、既存のインシデント報告体制の見直し、サイバーセキュリティ対策の確認やCSIRT及びSOCの体制の整備を提供します。

サイバーセキュリティの施策を確認：不十分な箇所がある場合、改善点を記載し、施行までに対応するように提言します。

NIS2が求める体制を満たしているか確認し、必要に応じて、CSIRTやSOCの体制の整備、インシデント報告体制の見直しを提供します。

アピールポイント

• 現在のインシデント対応のフローがNIS2で求められる24時間以内の早期通知ができる状態か確認可能
• 自社のサイバーセキュリティ対策が、NIS2で求められている水準を満たすか確認可能
• NIS2の要求事項に対応できるための体制が整っているか把握