fbpx

個人情報

AWSでのHIPAAセキュリティとコンプライアンスのための設計

顧客がAmazon Web Services(AWS)を使用して、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)で規制されている機密性の高いワークロードを実行する方法を簡単に説明します。保護された医療情報(PHI)を保護するためのHIPAAプライバシーおよびセキュリティルール、AWSを使用して転送中および保存中のデータを暗号化する方法、およびAWS機能を使用してPHIを含むワークロードを実行する方法に焦点を当てます。

続きを読む

企業がカリフォルニア州消費者プライバシー法(CCPA)に準拠する必要がある理由

序章

過去10年間、組織は政府によって施行されているさまざまな新しいプライバシー法に精通しています。2018年にGDPRが施行され、この法律が人々の個人データを扱う際に組織に多大な影響を及ぼしていることがわかります。現在、発効したばかりの別の主要な規制があります。

2020年1月1日、カリフォルニア州の消費者プライバシー法(CCPA)が施行され、カリフォルニア州の消費者の個人情報に関する新しい要件と権利が設定されました。これは米国で最初の州レベルのプライバシー法です。

データ主導の企業は、GDPRへの準備と同様に、新しい規制をシステムに適切に調整しています。

この新しい規制が組織にどの程度の影響を与えるかはわかりませんが、準備して遵守することが常に最善です。このブログ投稿では、CCPAとは何か、それがビジネスにどのように影響するか、およびCCPAに関して残る可能性のあるその他の疑問について説明します。

CCPAとは何ですか?

CCPAは、カリフォルニア州内に居住する消費者のプライバシーと個人データを保護するために作成されました。CCPAは、企業が保存している情報を知る権利を人々に与えます。この法律はさらに、個人に個人情報を使用できないことを企業に伝える権利を人々に与えます。GDPRと同様に、企業は収集した個人情報の種類、その情報を収集する目的、および情報の販売先を企業に開示するよう要求する場合があります。規制によると、このデータレポートは1年に2回無料でリクエストできます。

カリフォルニアがなぜCCPAに合格したのですか?

2018年に有名なデータマイニングのCambridge Analyticaスキャンダル個人データのマイニングが明らかにされた後、カリフォルニア州議会はCCPA規制を承認し、議会の公聴会で脆弱な個人情報がいかに悪用されるかを証明しました。より良いデータのプライバシー制御と透明性を実装するより多くの法律を作成することを望んだ州です。

CNETによると、より多くの州が同様の法律を検討しており、同様の提案が連邦レベルで提示されています。

消費者にとってのCCPAの意味

CCPA規則は、カリフォルニアの居住者に個人情報を含む4つの基本的な権利を提供します

  • 特定の情報を含め、どのような個人情報が保存されているか、その情報を使用してビジネスが何をしているのかを知る権利。
  • 情報を保管している事業者に個人情報の削除を請求する権利。
  • 個人情報の売却をオプトアウトする権利。
  • 消費者がCCPAに基づく権利を利用する場合、価格やサービスの差別から解放されます。ただし、企業は、個人情報の収集、販売、または削除に対して、消費者への支払いを含む金銭的インセンティブを提供する場合があります。

組織がCCPAの影響を受けているかどうかはどのようにしてわかりますか?

CCPA規制は、カリフォルニアの居住者の個人データを収集、共有、または販売し、次の3つの基準のいずれかを満たす組織に影響します

  • 年間総収入が2,500万ドル以上。
  • 5万人以上の消費者・世帯・機器の個人情報を保有している。
  • 個人情報の販売により、年収の半分以上を稼ぐ。

私の組織はどのようにしてCCPAに準拠できますか?

組織はさまざまなプライバシー手順を実装して、消費者がCCPAに基づいて権利を行使できるようにすることができます

ここで取るべき重要な手順は次のとおりです。

  • 消費者が個人情報の請求を行う方法を複数提供すること。最低でも、これらの方法には、フリーダイヤルの電話番号と、指定された電子メールアドレスやオンラインフォームなどの追加の方法が少なくとも1つ含まれている必要があります。
  • 消費者の要望を受け取ってから45日以内に対応するプロトコルを確立します。
  • プライバシーポリシーを更新して、新しいCCPAプライバシー権を含めます。
  • データ収集と文書化のプロセスを分析します。データの収集方法、使用方法、データの場所を追跡できること、および消費者にこの情報を提供するシステムが整っていることを確認してください。
  • 個人情報が販売されていることを消費者に知らせる。適時にオプトアウト要求を尊重するプロセスを実装します。
  • データの盗難やその他のセキュリティ違反を回避するためにビジネスが必要な手順を確実に実行できるように、データセキュリティの実践を評価および文書化します。

法務チームがCCPAイニシアチブ全体をレビューして、CCPAに準拠し続けるためにビジネスが実装する必要があるすべての手順を特定してください。CCPAコンプライアンスの主な要素についてスタッフ全体を教育することを強くお勧めします。

CCPAコンプライアンスを加速

会社のデータと顧客のデータを保護することに全力で取り組む

  • CCPAをナビゲートし、クライアントのデータを保護するために、以下を提供します。
    • 完全な第三者監査を受けています
    • 利用規約とプライバシーポリシーを更新しました
    • プラットフォームがすべてのデータストレージ要件を満たしていることを確認します
  • CCPAをナビゲートし、クライアントのデータを保護するために、以下を提供します。
    • 安全でない公共Wi-Fiの自動保護
    • 256ビットのAES暗号化ネットワーク接続(オンサイトとリモートの両方で保護)
    • 安全なポリシーベースのアクセス管理
    • モニタリング、ロギング、監査、セキュリティ分析
    • 多要素認証(MFA)
    • クラウド環境へのきめ細かなアクセス

CCPAコンプライアンスのための自動Wi-Fiセキュリティ

CCPAが有効になると、企業がWi-Fiセキュリティを処理する方法が大きく変わります。CCPA用のセキュリティソリューションは、これを主要な優先事項の1つにしています。特許取得済みの自動Wi-Fiセキュリティ機能は、すべてのアプリケーションに組み込まれた特別な機能であり、デバイスがロックされていてポケットに入れている場合でも、ユーザーはVPN接続を自動的に展開できます。

CCPA用のセキュリティソリューションをクライアントアプリケーションをインストールすると、ネットワークを通過するデータは256ビットのバンクレベルの暗号化で保護されます。CCPA用のセキュリティソリューションの革新的な自動Wi-Fiセキュリティは、従業員が未知の信頼できないネットワークに接続したときにVPN保護を自動的にアクティブ化することにより、データを即座に保護します。

個人および機密データの発見、分類、保護

本記事の概要

世界的なプライバシー規制、個人データの爆発的な増加、データ損失の増大、顧客の期待の高まりに伴い、組織は個人データや機密データのインテリジェンスと保護を自動化し、最適化する必要があります。厳格な規制と執行の強化により、企業はプライバシー規制の違反や違反行為に伴う莫大なコストに直面する可能性があります。企業は、データプライバシーとセキュリティのガバナンスポリシーを策定し、これらのポリシーの実施と伝達を包括的な保護ソリューションと戦略的に統合しなければなりません。拡大するデータ環境を保護するためには、次世代ツールを使用してデータの移動とアクセスを発見、分類、監視し、データ対象者とアイデンティティをマッピングし、センシティブデータのリスクを継続的に分析して追跡し、セキュリティ管理の動的な適用を自動化してオーケストレーションし、データプライバシー対策のステータスを効果的に伝達するデータセキュリティが必要となります。センシティブデータリスクのモニタリング、投資の優先順位付け、および保護をより積極的かつインテリジェントに行うためには、これらのツールには以下の機能が含まれていなければなりません。

  • 規制要件を満たすためにビジネスとテクノロジーのプロセスをリンクさせたプライバシーポリシー
  • 自動化された統合されたセンシティブなデータ発見、拡散分析、AIによる異常なユーザー活動の検出、多因子データリスク分析
  • データ対象者のアクセス要求をサポートし、同意管理システムとの統合をサポートするための機密データへのアイデンティティのマッピング
  • データ中心のセキュリティを活用したアクショナブルなインテリジェンスにより、単一のプラットフォームで修復のオーケストレーションをサポートし、データ対象者の権利と同意の要求に対応します。
  • 今日の複雑なハイブリッド環境を幅広くカバー

この記事では、GDPRHIPAACCPA、FINRA などのデータ・プライバシー規制へのコンプライアンスを向上させながら、これらの機能がデータ損失や誤用のリスクをどのように低減するか、特に総所有コストを低減する包括的な単一プラットフォームで提供されている場合には、どのようにするかを検討します。さらに、この記事では、以下の6つの重要な分野における機能性を評価する際に、組織が考慮すべき点について説明しています。

  1. データガバナンスポリシーの管理
  2. 個人データやセンシティブデータの発見と分類
  3. 個人のアイデンティティのマッピング
  4. リスクの分析と追跡
  5. 個人データやセンシティブデータの保護と被験者の要求と同意の管理
  6. 個人情報保護に関する措置と状況の伝達

最後に、この記事では、データプライバシーソリューションを実装するために必要なことを取り上げ、データ中心のセキュリティソリューションを適切に展開することのメリットを強調しています。

増え続けるデータ量とプライバシー規制

2025年までに、世界のデータ量は2017年に生成されたデータの10倍になると予測されています。
この指数関数的なデータの増加は、多くの課題を提示しています。

  • 構造化データ、半構造化データ、非構造化データの多様性
  • Hadoopノード、クラウドインスタンス、ファイルサーバー、リレーショナルデータベースなどのデータストアから、データが世界中に移動する際の増殖
  • より多くの場所、機能、地域からより多くのユーザーを獲得
  • このようなデータの増加は、コンプライアンスに対する要件が異なる国や地域のプライバシー規制の出現によって、さらに複雑になっています。このようなプライバシー法制の波は、個人データや機密性の高いデータを正確かつ継続的に理解し、管理することを企業に求めています。 オンサイト、リモート、モバイルアクセスポイントの急激な成長。変化する世界的なプライバシー規制に対応するために必要なエンタープライズ、データ、インテリジェンスを実現するためには、機密データの発見、分析、監視、保護のための従来のアプローチに頼ることはもはやできません。多額の罰金の脅威と顧客の信頼を維持する必要があるため、企業は早急に全体的なアプローチを取る新しいデータセキュリティのパラダイムに移行する必要があります。
  • ポリシーの変更やコンプライアンスレポートを効率的に処理するデータガバナンスの一元管理
  • 機密データの継続的な監視とリスク分析により、セキュリティプログラムと投資の優先順位付けを容易にします。
  • データ対象者へのアクセス要求や同意管理との統合をサポートするために、アイデンティティに基づいてセンシティブなデータのグローバルかつ粒度の高い分析を提供するアイデンティティベースのインテリジェンス – 企業内外やパートナー組織とクライアント組織間のデータの動きを完全に理解できる豊富でインタラクティブなビジュアライゼーション
  • 発見、リスク、監視を自動化されたリメディエーションにつなげる統合されたプロテクション

データプライバシーに関する重要な要件

最高情報セキュリティ責任者(CISO)、エンタープライズ・アーキテクト、およびプライバシー担当者は、新たな脅威が発生したときにそれを検知するために、企業のデータ資産を継続的に、文脈に沿って、そして迅速に保護する必要があることを知っています。しかし、企業規模でこの目標を達成するためには、いくつかの課題に取り組まなければなりません。

標準化、一貫性、および監査

何千ものデータストアを保護するために、組織はデータ定義とそれに関連する保護およびガバナンスポリシーを標準化する必要があります。一元化されたポリシー管理がなければ、セキュリティ担当者やアーキテクトは、ポリシーの変更を一貫して管理したり、コンプライアンスを監査して追跡したりすることができません。

精度と効果

絶えず変化する環境の中で高い信頼性の高い精度を維持するためには、データ・プライバシー・ソリューションには、データ・コンテキスト、対象者のアイデンティティ・マッピング、ユーザー行動分析、およびリスク分析が必要です。これらがなければ、ソリューションは多くの誤検知を発生させ、継続的なプライベートデータ保護に効果がありません。

スケーラビリティとタイム・トゥ・バリュー

厳しい期限内にリスク低減を実現するには、各データストアを個別に保護するよりもはるかに短い時間で多くのデータストアを保護できるように拡張できる自動化されたデータ・プライバシー・ソリューションが必要です。これは、潜在的なデータセキュリティリスクに即座に対応しなければならないセキュリティおよびコンプライアンス担当者にとって、喫緊の課題となっています。実際、ガートナーは、「(金銭的な影響を防止または最小化することを目標に)過度のリスクを検知して対応するためにセキュリティチームがかかる時間は、今後10年間で最も重要なセキュリティ指標の1つになるだろう」と予測しています。直感的な操作性、アクション、ワークフロー、人工知能(AI)、自動化のオーケストレーションがなければ、データ・プライバシー・ソリューションは拡張もできず、価値を生み出すまでの時間を短縮することもできません。

中断のない継続的な保護

データ・プライバシー・ソリューションは、データ、使用状況、ユーザー、および規制が常に変化する環境において、データ保護とコンプライアンスの洞察を維持するために十分な柔軟性を備えていなければなりません。ポリシーのカスタマイズやリスクの定期的な再評価をサポートできないソリューションは、真の意味での継続的なプライベートデータの保護を提供することはできません。

すぐに使える導入の準備

今日の CISO やプライバシー担当者は、自動化や AI を活用した新しい機能を備えたセキュリティへのデータ中心のアプローチを必要としているだけでなく、可能な限り現行のセキュリティ対策からより多くの価値を引き出す能力も必要としています。セキュリティエコシステムに追加する場合は、SSO、パスワード管理、Ranger™、Sentry™、業務管理SaaS、シールド、暗号化、トークン化ソリューションなど、既存の企業のセキュリティ対策と簡単に統合できるように、APIを活用する必要があります。

ハイブリッド環境のサポート

金融サービスやヘルスケアから交通機関やエンターテイメントまで、あらゆる業界の組織がデジタルトランスフォーメーションの何らかの段階に入っている。この段階では、彼らの世界はハイブリッドなものとなっています。データ保護ソリューションを選択する際には、従来のオンプレミスシステムで管理されているか、マルチクラウド環境で管理されているか、構造化されたデータ形式と構造化されていないデータ形式のいずれかで構成されているビッグデータで管理されているかに関わらず、すべてのデータソースをカバーする必要があります。

データプライバシーソリューションの評価

個人データを保護するためには、以下の基本的なことから始めなければなりません。

  1. 機微なデータを適切に取り扱うためのポリシーの設定
  2. 機密データがどこにあるかを理解し、一貫して分類する
  3. 個人のアイデンティティと機密データのマッピング
  4. データリスクの分析と追跡
  5. 機密データの保護とリスクの是正
  6. 測定、伝達、監査対応

これらの基本的な要件をサポートするために、機密データを管理するプラットフォームには、以下の機能領域が含まれていなければなりません。

ガバナンス ポリシーの定義と管理

この能力は、機微なデータ要素と、適用されるすべての規制や法律に準拠してそれらを保護するためのプロセスを定義します。多くのデータガバナンスプログラムは、規制遵守の世界から生まれました。組織にとって、規制はプログラムに必要な目的を提供すると同時に、プログラムを成長させるための経営陣のサポートと資金を提供します。多くの場合、新しいデータガバナンスプログラムは、新しいプログラムのためのポリシー、プロセス、および手順に取り組むために、一度に1つのプロジェクトに取り組むという小規模なものから始める必要があります。コンプライアンスのためには、プログラムがプライバシー規制に関連して必要とされる基礎的な作業に集中する一方で、プログラムの成長に合わせて、価値の高い企業資産としてデータを全体的に管理するという将来を見据えていることを意味します。新しいプログラムを立ち上げたり、新しいプライバシー規制のガイドラインに沿って作業を進めたりする中で、データガバナンスプログラムのリーダーは、いくつかの重要な項目を確認することになるでしょう。誰がデータに安全にアクセスできるのか、チームメンバーが組織の境界を越えてデータをどのように扱うのかなど、高レベルの内部ポリシーを構築する必要があります。また、同じプログラムのオーナーは、ビジネス用語集やデータ辞書も作成します。この用語集は、データ要素の単一の真実のポイントとなります(例えば、すべてのチーム・メンバーが正確に「顧客」とは何かを定義するなど)。実際には、これは組織がビジネス機能を超えて協力して、ポリシーの定義と要件を把握して調整し、被験者登録要求に対応するプロセスを文書化し、同意管理フレームワークを決定して文書化する権限を与えられることを意味します。そして、各データガバナンスおよびプライバシーポリシーの実施、管理、対応、および是正のための所有権と説明責任を割り当てる。さらに、以下の機能を備えたソリューションを探すことも検討してください。

  • 個別のアプリケーションではなく、統合されたプラットフォームの一部としてポリシーを管理します。
  • 機密データのためのシステムとプロセスの流れをマップ化
  • プライバシーと保護の結果を文脈の中で可視化する
  • 影響を受けるすべてのステークホルダーに結果を報告する
  • 管理されているすべての成果物に対して監査証跡を提供する。
  • 相互作用の時点でデータ対象者の要求への応答を自動化する

個人データと機密性の高いデータの発見、分類、理解

この機能は、センシティブなデータを自動的に特定し、リスクをランク付けし、分類することで、センシティブなデータがどこに存在し、組織全体でどのように増殖しているかを広く深く理解することができます。従来のデータ発見および分類ツールでは、機密データを含むデータベースを特定するために、そのデータが存在するテーブルや列の名前をリストアップしていました。このアプローチでは、保護が必要な場所をある程度把握することができますが、どこから手を付ければよいのか、機密データが他のデータストアを介して増殖している場所はどこなのか、あるいはデータがすでに保護されているかどうかを示すガイダンスは提供されていません。

データストアをスキャンして機密データを発見する

このソリューションは、スケーラビリティに関する組織固有のニーズを満たす必要があり、複数のベンダープラットフォームや、以下のような異なるデータリポジトリをスキャンできる必要があります。

  • メインフレームを含む従来のリレーショナル・データベースにまたがる構造化データ
  • クラウドアプリケーション
  • HDFSやAmazon S3上の半構造化データ(CSV、XML、JSONなど
  • CIFS NFS上の構造化されていないデータ
  • SharePoint
  • 従来の構造化データストア

また、すでに保護されているデータストアからデータ保護方法やステータスをインポートできるようにする必要があります。さらに、管理とスケーリングを容易にするために、以下の機能を検討してください。

  • エージェントレススキャン
  • スキャンジョブをスケジュールする能力
  • 誤検出と処理
  • メタデータ、データ、またはその両方を使用するようにスキャンを設定する能力

機密データの分類

この機能には、クレジットカード番号、住所、氏名、その他の個人情報などの機密データ領域の検索定義を作成したり、変更したりすることが含まれます。機微なデータの分類には、プライバシー規制に準拠するために必要に応じてカスタムの分類ポリシーを作成する機能も含まれています。理想的には、GDPR、HIPAA、PII、PCIPHIなどの主要な規制に準拠するために、すぐに使えるデータドメインを備え、さらに追加の要件をカバーするためにカスタムドメインと分類ポリシーを作成する機能を備えていることが必要です。また、以下のような機能も提供する必要があります。

  • 分類ポリシーテンプレートを活用して、プライベートデータの定義を迅速に作成し、データの感度レベルを指定する。
  • すべてのデータドメインをインポートすることなくアクセス可能
  • パターンマッチング(正規表現を含む)、参照テーブル、複雑な組み合わせルール(例:名前+住所+SSNがある場合のみ一致)を使用して、メタデータとデータの両方の検索定義を作成します。
  • データに対する論理的なチェック(合計のチェックなど)や、検索結果が競合した場合の優先順位付けルールなど、正規表現以外のルールなど、高度な検索ルールを作成することができます。
  • 適合性スコアリング(例:選択された行のxx%以上が一致した場合のみ受け入れる)、ブラックリスト、ホワイトリストにより、誤検出を最小限に抑えます。
  • 分類ポリシーに一致する各行のデータ損失のコストを見積もる

機密データが増殖する場所を理解する

データの拡散には、各機密データレコードが組織内の他のデータストアにも存在する場所を特定して追跡し、そのレコードが拡散している場所を理解し、監視し、保護するためのドリルダウン機能を提供することが含まれます。理想的には、このソリューションには、次のようなすぐに使えるツールが付属していることが必要です。

  • サードパーティのメタデータプロバイダ(Microsoft、Cloudera、Hortonworks など)からのデータストアを介したセンシティブデータの移動を追跡する。
  • 組織のグローバルな機密データと、その拡散パターンを地域や部門間でリッチに可視化します。
  • 機密性の高い記録のアクティビティが最も多い ID、データストア、データドメイン、および部門のランク付けリストを継続的に更新します。
  • 選択した 2 つのシステム間で増殖している機密ドメインとカラムを表示するためのドリルダウン機能を提供します。

マップアイデンティティ

この機能は、組織のデータストアに個人データが保持されているデータ対象者、または個人のインデックスを作成することで、データプライバシーのGDPR準拠をサポートします。また、このソリューションには以下の機能が含まれている必要があります。

  • 識別された各対象者の個人データがどのデータストアに保存されているかのマッピング
  • 対象者の地理的位置および個人データを保有するデータストア
  • 個人の包括的なデータフットプリントとリスクを見るためのデータ対象ごとの検索性
  • データ侵害の通知、対象者の忘れられる権利(RTBF)、データのポータビリティとアクセスを求める対象者の要求をサポートします。
  • 同意管理との統合:多くの組織は、データの使用方法を管理するためにマスターデータ管理に依存しています。

データリスクの分析と追跡

この能力は、データストアを相互に比較して保護努力を促進するリスクスコアを生成する共通のリスクフレームワークにおいて、定義されたポリシーに基づいてセンシティブデータのリスクコストを計算します。ソリューションは、各データストアのリスクを計算するために、リスクフレームワークに複数の調整可能な要因を含める必要があります。以下のような要因を探します。

  • データの分類/感度レベル
  • 機密データの量
  • データの保護状況
  • センシティブなフィールドの数
  • データの違反コスト
  • 機密性の高いデータの他のデータ対象への移動
  • データにアクセスできるユーザー数
  • 機密データに対するユーザー活動のカウント
  • リスクモデルを運用環境に合わせて調整するためにユーザーが定義したカスタムフィールド

組織は、組織の運用環境に基づいて、これらの要因のそれぞれの重み付けを微調整できるようにすべきである。理想的には、プラットフォームには、保護対策を実施する前に、個々のデータストアごとのリスクスコア計算をシミュレートする機能が含まれていることが望ましい。

ユーザーのアクセスとユーザーの活動を監視する

この能力は、機密データへのアクセス権者とその使用方法を把握することで、プラットフォームをより動的なものにし、リスクスコアリングを向上させます。ユーザーの活動を機密データと相関させるためには、この能力は、生のユーザー活動ログファイルをリアルタイムでインジェストし、以下を統合することができなければなりません。このようなユーザー、ユーザーグループのメンバーシップ、ユーザーエイリアス、データストア、テーブル、およびカラムへのユーザーアクセスなどのLDAPおよびActive Directoryデータを使用して、これらのデータストアにアクセスします。機密データにアクセスしたユーザーやグループについて、ユーザー、データストア、発生時刻、その他の基準でレポートし、各データストアの全体的なリスクスコアリングにこのユーザーの活動を組み込むことができるようにする必要があります。

また、AIを活用して異常なユーザー行動を捕捉し、異常が検出された場合にアラートを生成し、適切なセキュリティチームの関係者に通知を送信する自動化を行う必要があります。さらに、ユーザーのアクティビティや行動のビューを充実させることができるソリューションを探すことも検討してください。

  • サポートされているすべてのデータストア・タイプのユーザー・アクティビティを分析します。
  • 個人の活動を迅速に表示し、レポートするための詳細なユーザープロファイルページを提供します。
  • システムログサーバーを活用して、業界標準のアクティビティログをインジェストする
  • ユーザーのアクセス権をインポート
  • ユーザー行動分析のためのリッチなビジュアライゼーションの提供

データの保護、被験者の権利と同意の管理

この機能は、定義された保護ポリシーを自動的に適用して、データを暗号化、マスク、またはその他の方法で保護します。ターゲットデータストア内で直接、または保護ワークフローを開始することで起動できます。

データ保護のために

永続的データマスキング、動的データマスキング、暗号化、アクセス制御、チケットシステム(業務管理SaaS など)、およびその他のデータ保護方法について、手動および自動化されたワークフローをサポートする必要があります。保護ポリシーの作成は双方向であるべきです。保護ルールはプラットフォーム内で構築され、保護ツールにプッシュされるべきです。リメディエーションには、注意を要する例外やその他の定義された条件をユーザーに通知するための通知やアラートを自動化する機能も含まれるべきです。また、アラートに応答して自動的にアクションを起こすスクリプトを作成する機能(例:ユーザーをある LDAP グループから別のグループに移動させる)も含まれている必要があります。包括的なデータ保護を提供する。ソリューションの中にこれらの機能を探すことを検討してください。

  • サポートされているすべてのデータストアタイプで動作する保護ツール
  • 暗号化、マスキング、アクセス制御などのデータ中心の保護
  • Ranger、Sentry、業務管理SaaSなどのサードパーティ製ツールとの統合
  • 発見と保護のための共通のポリシーフレームワーク

データ主体の権利のために。組織は、保有する顧客、従業員、および第三者のアイデンティティに関連するすべての個人情報および機密情報について明確な情報を必要としています。また、データ主体の権利の要求に対応するためには、データを実行可能なものにしなければなりません。自動化されたワークフローでは、情報を削除またはマスクする機能を提供する必要があります。さらに、組織は、個人のデータがどこで使用されているか、プライバシーリスクはどの程度かなど、個人に関する情報を瞬時に把握できるようにしなければなりません。データのプライバシーとコンプライアンスは、個人(すなわち、個人のデータが保護されているかどうか、個人が自分のデータをコントロールできるかどうか)を中心に据えています。このプライバシーの基盤を支えるためには、組織には以下のような ID 中心の機能が必要である。

  • 組織の機密データに含まれる個人を識別する。
  • 個人ごとにどのような機密データを保持しているかを理解する
  • 様々な属性(例:所在地、データストア、リスク、保護状況、各個人のセンシティブデータの利用)に関する情報を用いて、個人のアイデンティティによるセンシティブデータを理解する。
  • 個人の機密データを素早く見つけて、プライバシーの要求をサポートします。”どのようなデータを持っているのですか?”や “私のデータをすべて削除してください!”などのプライバシー要求をサポートするために、個人のセンシティブなデータを素早く見つけ出すことができます。

同意管理のため。組織は、システムと情報を結びつける接着剤として機能するマスターデータ管理(MDM)ソリューションを必要としています。MDMは、データ駆動型のデジタルトランスフォーメーションのための真実の単一ソースであり、顧客体験プログラム、マーケティングおよび販売業務、オムニチャネル小売、サプライチェーンの最適化、ガバナンスの取り組み、コンプライアンスの取り組みなどのために、信頼性の高い正確で完全なデータを提供します。必要な機能は以下の通りです。

  • データを単一のビューで表示し、異なる、重複する、または競合する複数の情報ソースを統合します。
  • 重要なデータと他のデータとのビジネス関係を360度見渡せる
  • すべてのインタラクションを完全に表示し、すべてのトランザクションをリンクして顧客行動を完全に表示します。

測定、伝達、監査対応

この機能は、機能横断的なコラボレーションをサポートし、監査人を満足させるための可視化とレポートを提供します。さらに、組織は継続的にリスクを測定し、ポリシーやプロセスがデータリスクにどの程度影響を与えているかを評価することができます。ビジネス機能の利害関係者のデータプライバシーの関心と要件を満たすために、プラットフォームは、以下のようなデータプライバシーKPIを追跡するダッシュボードと可視化を提供する必要があります。

  • IT: 監査/コンプライアンスサポート、資産価値とリスク、DevOpsプライバシー
  • セキュリティ:コンプライアンス、セキュリティ上の決定、データ保護 – プライバシー。GDPR、DPIA、データ対象者リスク、対象者へのアクセス要求、プライバシー準備測定/追跡
  • ビジネス/リスク:リスク低減、データガバナンス、規制遵守

この能力には、典型的な監査人の要求と予期せぬ監査人の要求の両方を満たすために、必要に応じてレポートを生成するためのサポートも含まれているべきです。

ソリューションの実装

組織は、センシティブデータに関連するリスクを包括的に把握することができるようにならないと、センシティブデータに関す るリスクを包括的に把握することはできません。

  • ガバナンスポリシーの定義と管理
  • データの場所、量、および拡散を特定する(すなわち、センシティブなデータが作成された場所と、それが組織内をどのように流れるか)。
  • 被験者のアイデンティティをマップする
  • 個人情報保護法の遵守と監査依頼
  • データ保護の状況を理解する(すなわち、現在データがデータセキュリティ管理によってどのように保護されているか)。

セキュリティチームは、すでに知っていることを確認するだけでなく、見落としている可能性のあることを理解する必要があります。定期的にリスクスコアリングを集計することで、セキュリティチームの盲点を定量的に把握することができ、優先順位を設定し、最もリスクの高い20%のデータに80%の労力を集中させることができます。

ユーザーの行動、行動、異常を理解する

データはそれ自体を危険にさらすものではなく、ユーザーは常に何らかの形で関与しています。その理由と方法を特定するために、セキュリティチームは分析、インテリジェンス、自動化を活用して、ユーザーの異常な行動を簡単かつ迅速に特定する必要があります。これにより、疑わしいイベントがより簡単に検出され、より正確に報告されるようになるため、IT 部門は潜在的な脅威からの防御や修正を迅速に行うことができます。

ポリシーや行動の例外に対するトリガーアラート

ポリシー、コンプライアンス違反、または疑わしい活動の種類ごとに、特定の保護技術とツールを割り当てることで、セキュリティチームの効率性と効果を高めることができます。場合によっては、センシティブなデータ保護に対して、完全に統合された自動化されたアプローチを取ることが最善の方法である場合もあります。例えば、インテリジェントなソリューションがユーザーが通常よりも多くの SSN レコードにアクセスしていることを検出した場合、スクリプトを自動的に起動してデータを動的にマスクしたり、LDAP でリスクの高いユーザーグループにユーザーを移動させたりすることができます。その他のケースでは、セキュリティチームは、データ所有者やアプリケーション所有者に手動での介入を要求したり、それを必要とするアラートを単純に生成したい場合があります。セキュリティチームがデータ保護ソリューションを構成し、展開する際には、以下の手順を実行する必要があります。

  • 資産の種類とユーザごとに、どのような保護方法またはアクションを使用するかを定義する。
  • 対象者の個人データが、適用される個人情報保護規則に準拠して保護されていることを確認します。
  • 保護方法との適切なレベルでの統合を確立する
  • ソリューションの有効性を継続的に監視し、必要に応じて適応させます。
  • より多くのユーザーとより多くの情報資産の種類に範囲を拡大する

データに焦点を当てる

個人データや機密データがどこにあるのか、どのように使用されているのか、誰が使用しているのかを知ることは、そのデータをどのように保護するかを決定する上で非常に重要です。安全な場所にあるデータサーバーでは、ディスクやファイルレベルでの暗号化は必要ないかもしれませんが、別の場所や別の国にあるパートナーがホストしているデータベースでは、制御の喪失を防ぐために、より強力な保護が必要になります。複数のユーザーやアプリケーションからアクセスされるデータレイクは、アクセスルールを設定する際に、場所、時間、必要なアクセスレベルを考慮する必要があります。GDPRによって管理されるデータには、ユーザーの時間と場所に適応した動的なアクセス権、個人データを格納しているデータストアへの対象者のアイデンティティのマップ、同意を管理し、対象者の要求に対応するための自動化を活用したワークフローが必要になります。テスト環境には独自の課題があります。機能テスト環境では、スムーズな運用を継続するために現実的なデータが必要です。機密データの列に適用される保護は、テーブル間の関係が損なわれないようにする必要があります。クロスシステムのビジネスプロセスでは、機密性の高い列を保護することでプロセスを中断させてはなりません。永続的なマスキングは、保護されたデータを元の値に復元する必要性がほとんどないレポート、分析、およびテスト環境に展開することができます。本番システムでは、静止時のデータ保護はデータ保護よりも重要性が低いかもしれません。異なったグループのユーザーに適切に対応できるようにする必要があります。このような場合、データは一部のユーザからは完全に保護され、他のユーザからは部分的にしか保護されていないか、または完全に利用可能な状態になっている必要があります。銀行のコールセンターでは、データベース管理者(DBA)は通話相手のSSNを全く見る必要がなく、カスタマーサービス担当者は下4桁の数字を見る必要があり、通話相手のクレジットヒストリーを確認するバックオフィスのユーザーはSSNのフルバージョンを見る必要があります。このようなきめ細かなアクセス制御を動的に行う必要があります。

保護はチームスポーツ

アプリケーションオーナーとセキュリティアナリストは、データを運用管理する DBA と密接に協力しなければなりません。ビジネスプロセスオーケストレーションツールを使用することで、これら 3 つのグループ間のハンドオフプロセスを自動化して測定することができます。

インテリジェンス、アナリティクス、および自動化を推進

分析、AI、自動化を活用したポリシーベースのインテリジェントなソリューションにより、コンプライアンスレポート、リスク分析、ユーザーの行動監視、プロテクションのオーケストレーションと修復を行うことで、変化の激しい環境でもデータを最新かつ安全な状態に保つことができます。セキュリティチームは、新しいデータやメタデータの変更を継続的にスキャンするルールを実装することができます。データの異常が発生した場合、データ保護ソリューションは自動的にポリシー違反のアラートを作成し、適切な関係者に通知を送信して是正措置を提案することができます。例えば、自動化を活用したソリューションでは、メタデータの変更により既存のシステムにアカウント番号を含む新しい列が出現した場合、アプリケーションの所有者に警告を発し、データを保護するための是正措置を取るように促すことができます。さらに、このソリューションは、人工知能と自動化を組み合わせて、セキュリティの脅威を示す可能性のあるユーザーの行動に迅速に対応することができます。ユーザーのアクセス、役割、およびプロファイルが明確に定義され、ユーザー行動分析(UBA)が活用されている場合、インテリジェントなソリューションは、通常の行動パターンから乖離したユーザー行動や、機密レコードへの不正アクセスを示すユーザー行動を効率的に検出し、自動化された是正措置を提供することができます。例えば、DBA のユーザーが機密データを含むレポートをダウンロードしたが、そのユーザーはその情報をダウンロードするためのアクセス権を持っていないとします。このソリューションでは、そのユーザーを自動的にレポートにアクセスできないグループに移動させ、セキュリティアラートを作成し、適切なチームに電子メール通知を送信して、潜在的なデータリスクを調査し、修復が完了して効果的であることを確認することができます。AI による異常検知と自動修復は、セキュリティアナリストにとって大きな助けとなりますが、最初に試したときに正しい状態にするのは難しいかもしれません。一般的には、最初に少人数のユーザーやアプリケーションでテストを行い、エラーから学習し、徐々に展開していくのがベストです。

ビジネス上のメリット

適切に導入されたデータプライバシーソリューションは、単にリスクを軽減するだけではなく、ビジネス価値を提供します。 すべてのデータ資産、対象者、ユーザーに対してリスクを包括的かつ継続的に把握できるようにすることで、セキュリティポリシーと管理のガバナンスが容易になります。これにより、データ所有者がコンプライアンスのために柔軟性を犠牲にすることなく、システムやデータセット間でデータセキュリティポリシーの一貫性を保ち、データ侵害や監査の課題に対応するための正当な法的立場を確立することができます。適切な種類のデータに適切な方法を適切なタイミングで適用することに焦点を当てたデータプライバシーへのアプローチをサポートすることで、このソリューションはまた、データ所有者とアプリケーション所有者の間のコラボレーションを促進し、セキュリティ対策に対するデータ所有者のバイインを向上させます。最後に、このソリューションは、価値を生み出すまでの時間を短縮し、運用コストを削減する必要があります。ユーザー、対象者、データストアに関連するリスクに基づいてデータ保護を自動化することで、ITスタッフと予算をより戦略的なタスクに充てることができます。

結論

ガートナーによれば、「リスクは回避されるものではなく、監視し、評価し、信頼とのバランスをとり、継続的に伝達し、許容できるレベルに適応させるものである」としています。最終的には、すべてのデータソースで機密データを継続的に保護し、企業全体で個人データが増加する中で進化するプライバシー規制に対応することで、顧客の信頼を維持し、向上させることを目標としています。

 

 

 

消費者データの保護を目的とした、NY DFSのサイバーセキュリティ規制

効果的で構造化されたサイバーセキュリティは、ニューヨーク州(世界有数の金融センターがある)で事業を行う金融サービス会社にとって、ビジネスを行う上でのコストとして、現在ではオフィシャルに求められるものとなっています。

ニューヨーク州金融サービス局 (NYDFS) のサイバースセキュリティ要件は、最初に必要性だけでなく、金融業者の最も貴重な資産である顧客データを保護するためにリスクベースのアプローチを取る義務を確立しました。

その中心となるNYDFSの規制は、金融サービス業者が顧客の個人データとプライベートデータがどこにあるのか、データが誰のもので、誰がそれにアクセスできるのかを理解し、最善の保護を行うことを義務付けています。

序章

ニューヨーク州金融サービス局 (NYDFS) の金融サービスのためのサイバースセキュリティ要件は、顧客データと情報の保護のための米国における今日までの最も厳格なフレームワークを表しています。包括的な枠組みの動機は明らかです。サイバー犯罪者による攻撃は、金融サービス業(ニューヨーク州の経済に占める割合が非常に大きい)の完全性に対するシステミックなリスクを表しています。この規制は米国では初めてのものかもしれませんが、リスクの告知に焦点を当てています。未公開情報の定義を拡大することで、NY DFSは、プライバシー侵害だけでなく、公開された場合に重大な損害をもたらす可能性のあるデータにも適用範囲を拡大しています。

経験豊富な CISO が定期的な侵入テストや成熟したアプリケーション・セキュリティ・プロセスを組み込んだ高度なサイバーセキュリティ・プログラムを管理している対象事業体であっても、規制に準拠したサイバーセキュリティ・プログラムを実施するための基本的なステップは、リスク評価の実施であることに変わりはない。 対象事業体は、自社のサイバーセキュリティリスクを正式に評価し、リスク評価の結果に基づいて、アクセス制御やデータ暗号化などのメカニズムを通じて「堅牢な」方法で自社データへのリスクに対処するためのサイバーセキュリティプログラムを策定し、維持することが求められている。

さらに、同規則は、保護すべき顧客情報や個人情報の定義を拡大し、初めて「非公開情報」の概念を導入した。 個人を特定できる金融情報に限定されたグラム・リーチ・ブライリー法(GLBA)のような金融サービス会社を対象とした既存の規制とは対照的に、対象となる事業体は、医療情報や通常の業務の過程で収集された「業務関連情報」にまで保護と監視の範囲を拡大しなければならなくなる。すべての関連する個人情報の保存場所(オンプレミスシステムでもクラウドサービスでも)を最新かつ包括的にマップし、リスクの高いデータセットとそれらが保存されているシステムを特定し、違反リスクを示すデータのフローやアクセスパターンを確認して警告する能力は、現在、あらゆるコンプライアンスプログラムの基礎を構成しています。

概要:NY DFSのサイバーセキュリティ規制

2017年3月1日より、NY DFS規則は、銀行、保険会社、その他NY DFSの規制を受ける金融サービス機関に対して、消費者の個人情報を保護し、サイバーリスクを管理するためのサイバーセキュリティプログラムを確立し、維持することを求めている。

NY DFS の要件を検討すると、この規制の根本的な意図は、顧客情報を保護するためにリスクベースのアプロー チを取るように金融サービス会社を動機付け、不正な目的のためにプライベート(または「非公開」)情報が暴露されたり盗まれたりする可能性を制限することであることがすぐに明らかになります。 未公開情報へのリスクを詳細に把握し、情報を提供しなければ、プロセスの後続のステップは監査人を遠ざけることになるかもしれません。

NY DFSのセキュリティ要件

  • 文書化されたリスクアセスメントを実施する。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイバーセキュリティリスクを特定し、評価する。
  • 識別されたリスクとの関連で、既存のコントロールの妥当性を評価する。
  • 識別されたリスクが、リスクアセスメントに基づいてどのように緩和されるか、または受け入れられるか、また、サイバーセキュリティプログラムがどのようにリスクに対処するかを記述する。
  • リスクに応じたサイバーセキュリティプログラムの構築。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイ バーセキュリティリスクを特定し、評価する。
  • 不正アクセス、混乱、悪用の試みを検出します。
  • 情報システムおよび非公開情報を不正アクセス、混乱、および誤用から保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。 情報システムおよび非公開データを不正アクセスから保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。
  • サイバーセキュリティイベントの検出
  • 特定されたサイバーセキュリティインシデントに対応し、悪影響を軽減する。
  • 攻撃を受けた後、通常の操作とサービスを回復し、復旧する
  • 適用される規制上の報告義務を果たす
  • 書面化されたサイバーセキュリティポリシーを採用する。情報システムおよびそれらの情報システムに保存されている非公開情報の保護のためのポリシーと手順をカバーし、データガバナンスと分類、アクセスインベントリとアイデンティティ管理、ネットワーク、情報、デバイスのセキュリティに対応しています。
  • 有資格のCISOを指定する。組織のサイバーセキュリティプログラムを監督し、実施し、そのサイバーセキュリティポリシーを実施する責任があります。
  • 書面化されたサードパーティのサイバーリスクポリシーの実施。組織のリスク評価に基づいて、第三者が提示するリスクとサイバープラクティスの継続的な妥当性に基づいて、定期的に第三者を評価します。
  • 書面によるインシデント対応計画の策定。サイバーイベントに対応するための社内外のプロセスを概説したもの
  • サイバーセキュリティイベントが発生した場合は、DFSの管理者に通知します。(1)監督機関への通知を必要とする場合、または(2)経営に重大な支障をきたす可能性があると合理的に判断される場合には、決定後72時間以内に、監督機関への通知を必要とする場合には、決定後72時間以内に、監督機関への通知を必要とします。
  • 年に一度のコンプライアンス証明書の提出。毎年2月15日までに、理事会議長または上級Officerが署名し、管理者に提出すること。規制の技術的・組織的な意味合いが注目されてきたが、NY DFSのコンプライアンスプログラムの基礎となるのは、対象となる事業体が保存・管理する非公開情報への不正アクセスや悪意のあるアクセスのリスクを理解し、測定する能力であることに変わりはない。
  • データを知り、リスクを知る。規制の要件を検討する際の第一の結論が、リスクアセスメントがコンプライアンスプログラムの基礎であるとするならば、防御策やプライバシー保護がどのように実施されるかは、アセスメントによって発見される非公開情報の量、構成、場所に依存するということを意味している。現実的には、リスクアセスメントの結果によって、サイバーセキュリティプログラムの範囲、技術的な構成要素、およびその最適な適用が決まることを意味する。例えば、同規則では、侵入テストや脆弱性評価の範囲、監査証跡システム、システムへのユーザアクセス権限の制限、非公開情報の暗号化の決定、多要素認証やサードパーティのアクセスポリシーの実装などは、リスクアセスメントで特定されたリスクや脆弱性に合わせて調整されるべきであると規定しています。

何が非公開情報を構成しているのか、どの顧客とデータが関連しているのかをどのようにして知ることができるのでしょうか?これは、GLBAのようなコンプライアンス義務や、ヘルスケアデータのHIPAA規制を遵守しなければならない組織では、個人を特定できる財務情報の発見やインベントリ作成に苦労している多くの組織では、すでにお馴染みの課題です。

対象事業体のセキュリティに組み込まれた非公開情報のより広範な定義はまた、金融商品の申請プロセスの過程で収集されたデータも対象としており、意味合い的には既存の顧客のデータを超えて範囲を拡大しています。規制のリスクベースのアプローチに準拠し、貴重な個人データの潜在的な危険性をよりよく理解するためには、データの発見とインベントリ作成の新しいアプローチが必要です。その代わりに、新しい機械学習技術と相関法を使用して、個人データとプライベートデータを発見し、インベントリを作成し、明示的な個人識別情報と推測される属性の両方を特定のユーザーに関連付けることで、はるかに持続可能で効率的なアプローチが可能になります。

特に、広く定義されている非公開情報のカテゴリーの場合、対象となるエンティティは、どのようなデータセットを探しているのかを事前に確認することができません。そうではなく、類似した身元情報の相関関係と比較に基づいて何が非公開情報として分類されるかを学習し、攻撃者が顧客を再識別することを可能にするデータセットの「リンク性」の程度を決定できる能力が必要です。構造化されたデータ・ソースだけでなく、ビッグデータ・リポジトリ、光ファイバー・シェアやクラウド・データ・サービスのような非構造化データ・ソースをスキャンし、何が非公開情報を構成するかを識別可能性スコアに基づいて推論することで、対象事業体は潜在的なエクスポージャーのより広範な視野を構築することができます。インフラストラクチャ全体でこのレベルのデータ駆動型の洞察力と、機械学習によって固有の属性を識別して特徴付ける能力がなければ、対象事業体は必然的に、エクスポージャー・リスクの不完全なビューに基づいてサイバーセキュリティ・プログラムを削除することになります。

データマッピングでアクセスの執行をよりスマートに

どのようなデータを保存しているか(誰のデータか)、保存されている場所でデータが適切に保護されているか、保存されているシステムへのアクセス制御が適切であるか、という3つの側面からリスクを評価することを対象事業者に義務づけています。

リスクアセスメントに基づいてサイバーセキュリティプログラムを構築するには、データが存在する特定のシステムやサービスをピンポイントで特定し、暗号化すべきかどうか、誰がアクセスを許可すべきか(内部ユーザと第三者の両方を含む)を決定し、アクセス活動を継続的に監視する必要があります。未公開情報の全体を明確に把握することを出発点として、対象となる企業は、データ保護とアクセス制御のレベルが適切であるかどうかを判断するために、対象となるデータが存在する特定のシステムを特定することができます。追加の決定ポイントとして、企業はまた、どの仕様のシステムを多要素認証の形でアクセス制御の追加レイヤーで保護する必要があるかを決定することができます。

しかし、これらのステップは、静止状態のデータに対してどのような管理を行うべきかを決定する上で重要ですが、次のステップは、システム全体のデータフローを理解してマッピングし、データの実績、データの系統、データの所有権などのメタデータ属性を統合することで、コンテキストの追加レイヤーを提供することです。データの所在、所有権、使用状況を決定するためにテンプレートを作成したり調査を行ったりすることに頼るのではなく、データ駆動型のアプローチは、施行ロードマップの基盤として、またモニタリングや違反検知プログラムのための豊富なインプットの源として機能します。対象事業体が発見プロセスを繰り返し、非公開情報とみなされる可能性のあるデータをより多く発見すると、データセットを比較し、データの暗号化やアクセス制御が行われているかどうか、または実施すべきかどうかを評価することができます。

結論

サイバーセキュリティへの投資が運用上の要件の一部となっていること、そして、それらの投資は、保管、管理、処理する個人データや個人データにもたらされるリスクを最小化することに向けられていなければならないことです。 EUのGDPRの場合と同様に、同規則では、データ保護の対象となる事業体がリスクに基づいたプロアクティブなアプローチをとることを求めています。

しかし、より広範囲な非公開情報の定義が導入されたことで、プライバシーの問題を超えて、公開された場合に重大な危害(またはシステムの完全性における信頼性の喪失)を引き起こす可能性のあるデータにまで範囲が拡大されました。対象事業体が規制の要件を遵守するためには、データサイエンスと機械学習技術に基づいた非公開情報の発見とインベントリ作成のための新たなアプローチを採用し、最大のリスクがどこにあるかに基づいてアクセス制御やターゲットを絞ったデータ保護などの実施体制を構築する必要があります。

 

 

GDPRの視点:GDPRに向けたプライバシーリスクの自動化

EUのGDPRの規制指令の一つに、リスクベースのプライバシー保護が新たに強調されています。しかし、GDPRでは何がプライバシーリスクを構成するかについて明確な定義はありません。同規則では、最もリスクの高い処理、つまり営利を目的とした大規模な処理と、仮名化を含むデータ保護の強化によってリスクを下げる方法を特定しているに過ぎません。データ処理がリスクの範囲内にあるかどうかを判断するには、部門を超えたコラボレーションと対応可能なリスクモデルが必要なだけでなく、組織が責任を負うすべての個人データとプライベートデータ、およびそのデータへのアクセスを明確に把握する必要があります。

序章

欧州連合(EU)の一般データ保護規則(GDPR)では、データ主体の権利が強調されており、消費者は企業がデータを収集した後も法的な権利を持ち、データにアクセスできるようになっています。

リスクという概念は同規則の構造にとって非常に重要であり、現行版ではこの言葉が75回も登場している。この点をさらに強化するために、リスク評価は、管理者(個人データや個人情報を収集する理由や方法を決定する主体)の責任を説明する最初の一文に登場している。

処理の性質、範囲、状況、目的、および自然人の権利と自由に対する可能性と重大性が異なるリスクを考慮して、管理者は、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない。管理者は、処理の性質、範囲、状況、目的、および自然人の権利と自由に対する様々な可能性と重大性のリスクを考慮して、処理が本規則に従って行われていることを確実にし、証明できるようにするために、適切な技術的・組織的措置を実施しなければならない

リスクベースのプライバシーの枠組みが公布されたことは、従来のコンプライアンス要件から大きく逸脱しています。GDPRでは、管理の証拠や活動の記録だけを要求するのではなく、管理者に管理や保護措置に失敗した場合の可能性を考え、その失敗が個人のプライバシーにどのような害をもたらすかを評価することを要求しています。これらの義務は、データ・プライバシー影響評価の規定に要約されています。この規定は、対象となる組織に対して、新しいサービスやアプリケーションを開始する前であっても、収集や処理に関連する個人データへのリスクを積極的に評価し、適切な管理やデータセキュリティ保護が行われているかどうかを評価することを義務づけています。

EUのGDPRの対象となる組織がすぐに直面する問題は、どのようにして適切かつ体系的にプライバシーリスクを測定するかということです。 結局のところ、リスクは一見すると簡単に定量化したり、対策を講じたりできるものではありません。

企業が個人を特定できる情報がどこにあるのか、その個人データは誰のものか、誰がそのデータにアクセスしているのかを知るためのテクノロジーを採用することは、リスク分析の持続可能なアプローチのためには、一貫して答えを出さなければならない重要な問題です。

リスクアセスメントのリスクビジネス

GDPRでは、リスク評価が非常に重要視されているにもかかわらず、何がリスクを構成するのか、どのように分析するのかという定義が明示されていないのが現状です。同規則では、個人のプライバシーが侵害される可能性がある場合の「可能性と重大性」がリスク評価のフレームワークとなるとしていますが、個人データやプライベートデータの漏洩の可能性と重大性をどのようにして低減するのがベストなのかについての技術的なガイドラインは明示されていません。

GDPR は、リスクを定量化する方法を明示していませんが、いくつかのヒントを提供しています。GDPR は、対象となる組織が「一般的な義務」の一部としてリスクを考慮すべきであると述べているため、リスク分析は、データがどのように保護されているかだけでなく、データがどのように処理されているか、また、それらの処理が規定のポリシーやユーザーの同意契約に沿っているかどうかにまで及ぶべきであると考えるのが妥当でしょう。

その意味では、以下のような活動を行う場合には、リスクを考慮しなければなりません。 個人データの特性をプロファイリングの目的で大規模に処理したり評価したりすることは、被害のリスクを高める可能性があります。GDPRは、「差別、個人情報の窃盗や詐欺、金銭的損失、評判への損害、専門家の秘密によって保護されたデータの機密性の喪失、偽名の不正な取り消し、またはその他の顕著な経済的または社会的不利益」につながる可能性のある処理活動から生じる「物理的、物質的または道徳的損害」を非常に大まかに定義しています。

処理によってもたらされる危害のリスクは、第 30 条によれば、対象組織が「リスクに応じた適切なレベルのセキュリティ」を実施していることを保証しなければなりません。 例えば、GDPR は、仮名化されたデータが含まれ、パーソナライゼーションの結果が得られることを意図していない場合、処理は低リスクであると考えています。

したがって、リスクを定量化し、危害が発生する確率を評価することから始める必要があります。

  • 何が、誰のデータを収集しているのかを理解する。
  • データ属性の感度測定
  • データの居住地の割り当て
  • どのように処理され、アクセスされているかをマッピング
  • どこにどのように保存されているかをピンポイントで表示
  • 処理違反や不正アクセスなど、不正使用されている場所の特定
  • データが同意書に沿って収集されているかどうかの分析
  • 収集するデータが目的の制限に沿っているかどうかの分析
  • 晒しや盗難に遭いやすい時期を見極めることができます。

データドリブンリスクモデリング

リスクを管理し、データ対象者への危害の可能性を制限することは、プライバシーポリシー、データ収集プロセス、アプリケーション設計、ストレージセキュリティ、データ管理、アクセス制御、データ保護の各要素の総体であることは必然である。プライバシー担当者、IT部門、アプリケーションオーナー、情報セキュリティ担当者など、様々なステークホルダーが、様々な視点からリスクの問題に向き合うことになります。 それぞれの機能領域におけるプライバシーリスクを理解し、定量化し、管理するためのツールとして、テクノロジーが必要です。

データフロー、アクセスアクティビティ、データマッピングへの洞察とインテリジェンスは、機能横断的なリスク管理と緩和のフレームワークに向かうために必要な基礎的なインプットです。リスクの高い活動に対して実行可能な推奨事項を提供し、データ管理または情報セキュリティチームによる作業フローの自動化を推進するためには、リスクモデルは実際のデータに基づいたものでなければなりません。

リスクモデリングツールは、データの機密性、居住性、データセキュリティ、アプリケーションアクセスを含むGDPRの要件の中心となる要因に基づいてデータリスクを理解し、比較するのに役立ちますが、利害関係者に関連するビューで提示されます。

静的な入力、特にデータの居住性、データセキュリティ、アプリケーションアクセスの両方を考慮することで、データリスクを理解し、比較することができます。 嚢胞と相対的な感度、アクセスパターンの分析やアプリケーションアクセスのような動的なリスクインプットを、ステークホル ダーに関連した視点で提示している。

データの居住性や相対的な感度などの静的な入力と、アクセスパターン、アプリケーションの動作、認証情報、データの脆弱性の分析などの動的なリスク入力の両方を考慮に入れると、組織のサイロで行われる一連のバラバラで切り離された(多くの場合、手動で集中的に行われる)プロセスよりもはるかに包括的な画像が作成されます。

リスク評価と分析は、KPI測定ツールとして実用的ですぐに役立つように設計されています。データタイプ、データの居住性、消費アプリケーションなどのような拡張可能なリスク入力のパレットに基づいて重み付けを設定するためのシンプルなコンフィグレータをオペレータに提供します。管理者は、特定のリスクKPIを定義するために、特定の重み付けを設定することができます。さらに、管理者は任意の数の独立したKPIを生成できるので、株式が複数のインデックス・パフォーマンス・ベンチマーク(ダウ20S&P500、…)に対してベンチマークされる方法と同様に、任意の数のベンチマークに対してKPIを追跡することができます。

これに基づいてリスクモデルを構築することで、利害関係者は簡単なフィルタやクエリを使って特定のデータやデータアクティビティを掘り下げることができ、データやデータ利用のあらゆるスライスのリスクを簡単に評価することができるようになります。 また、リスク軽減の推奨は、全体のリスクに対する相対的な影響によって順序付けすることができます。

すべての利害関係者が時間の経過とともにリスクのパフォーマンスを理解するのを助ける一連の可視化ツールと役割別のビューを提供します。さらに、リスク指標のいずれもAPIを介してアクセスできるので、GRCツール、SIEM分析ツール、またはUBAセキュリティツールでリスクKPIを簡単に再利用することができます。

これらの自動化されたリスク評価は、調査の優先順位付けやGDPRの要件であるプライバシー影響評価を必要とするリスクの高いプロセスを評価するために、データ発見およびデータマッピングツールと組み合わせて使用することもできます。データと使用に関するリスクインテリジェンスに基づいて、プライバシー担当者はリスク軽減の努力に優先順位をつけることができます。

2つのリスクプロファイルは同じではありません

すべての組織にはそれぞれ異なる重点とリスク哲学があるので、リスクモデルは、組織がリスクの割合に関連する重み付けとしきい値を設定できるようにカスタマイズすることができます。例えば、組織は他のデータ対象者と比較してEU域内に居住する個人に高いリスクを与えることを選択し、他の組織はEU域外で行われるデータ処理に高いリスクを割り当てることができます。

例えば、オンライン小売業のような業種では、企業は匿名のウェブ閲覧データであるべきものに複数の識別属性を関連付けることに高いリスクを割り当てるでしょう。システムは、クッキーから取得したデータが個人識別可能な情報と結合されているかどうか、あるいは処理パートナーが両方のデータストアにアクセスしているかどうかを検出して、実行可能な推奨事項を含むアラートを生成するために、コンフィグすることができます。

医学研究の分野では、すべての個人データ属性に与えられた相対的なリスクの重み付けはさらに高くなり、リスクモデルは処理を通じた再識別の確率にもっと重み付けされます。

結論

GDPRのリスクベースのフレームワークにどのように対応するのがベストなのかが不確実な中でも、対象となる組織はリスクの定量化とリスクを軽減するための部門横断的なプロセスの両方に積極的に取り組まなければならないことは明らかです。また、何が高リスクの活動とみなされ、より効果的な保護によってリスクを下げることができるかは明らかですが、リスクは固定的なものではなく、組織全体にとっても、リスク管理の責任を負うことになった利害関係者にとっても、1つのサイズですべてをカバーするモデルは存在しません。

 

 

データ保護とプライバシー

目的

データ保護は、50年代末にプライバシーの基本的な権利を採択した欧州人権条約から始まった長いヨーロッパの物語です。最初のコンピュータの誕生とインターネットの覚醒に伴い、欧州当局は1995年に世界初の主要なプライバシー法の一つであるEUデータ保護指令を採用することを決定しました。この指令では、企業は個人データの処理について透明性を持ち、そのデータを使用するための正当な目的を持ち、データの取り扱いに注意を払うことが求められました。

世界中で利用されている「クラウドコンピューティング」などの技術の急速な変化や、膨大な量の個人データを処理する大企業の発展に伴い、更新が必要となりました。これが、2016年にEUの立法者が「一般データ保護規則」(GDPR)を採択した理由の一つです。この新しい欧州のプライバシー法は、これまでよりもはるかに多くのデータが収集される世界において、プライバシーの関連性を維持するものです。

2018年5月25日、GDPRは発効し、1995年のEUデータ保護指令に取って代わりました。この新しい欧州のプライバシー法は、(i)世界レベルでの欧州のデータ保護のための新たな景観を創出すること、(ii)個人が自分に関連する個人データに関して持つ権利を強化すること、(iii)データがどこで処理されるかに関わらず、欧州全体でデータ保護法を統一しようとしています。

この文書の目的は、この新しい規則をどのように実施しているかを説明することにあります。

GDPRは何をカバーしていますか?

個人データ

GDPRは個人データの概念を拡大・明確化していますが、基本的には変わりません。

個人データとは、識別可能な自然人(「データ対象者」)に関する情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置情報、オンライン識別子、または自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに特有の1つ以上の要素を参照することで、直接または間接的に識別可能な自然人を指します。

個人的な日付

GDPRは、個人データを処理する組織にのみ適用されます。一般的には、個人データに関わる自動または手動の処理を指します。

処理とは、収集、記録、組織化、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、制限、消去または破壊など、自動化された手段であるか否かにかかわらず、個人データまたは個人データの集合に対して実行される操作または操作のセットを意味します(GDPR第4条)。

領土の範囲

GDPRは2つの状況をカバーしています。

  1. EUに拠点を置く企業による個人データの処理は、処理がEU内で行われるかどうかに関わらず、すべて対象となります。
  2. EUに拠点を置いていない企業がEU内に所在する個人の個人データを処理する場合、処理活動がEU内のデータ対象者へのサービスの提供に関連している場合(域外法権主義の適用)も対象となります。

「領土の範囲」-本規則は以下に適用される。

  • 処理が組合内で行われるかどうかにかかわらず、組合内の組織の設立の活動に関連して個人データを処理すること。
  • データ対象者の個人データの処理活動が以下に関連している場合には、連邦内に設立されていない組織が連邦内にいるデータ対象者の個人データを処理すること。(a) データ対象者への支払いが必要かどうかに関わらず、商品やサービスの提供、または(b) 同盟内での行動の監視
  • 連邦内に設置されていないが、国際公法(GDPR第3条)に基づき加盟国法が適用される場所での管理者による個人データの処理。

GDPRには何が必要なのか?

EUに所在する個人の個人データを処理する組織(EUの内外を問わず)は、以下のGDPRの原則を遵守しなければなりません。

透明性のあるフェアでローフルな加工

  • 公正性と透明性は、個人データを公正に処理し、個人データがどのように処理されるのか、なぜ処理されるのかについての情報を提供します。
  • 適法性は、正当な法的根拠がある場合にのみ、合法的に個人データを処理します。データ処理は、以下の条件(GDPR第6条)のうち少なくとも1つを遵守しなければなりません。
  • データ主体がデータ処理に同意していること GDPRでは、同意を「自由に与えられた、具体的で、十分な情報を得た上で、声明または明確な肯定的行動を通じてデータ対象者の希望を明確に示したもの」と定義しています(GDPR第4条)
  • データ処理は、データ対象者が当事者である契約の履行のため、または契約締結前にデータ対象者の要求に応じた措置を講じるために必要です。
  • データ処理がデータ管理者の法的義務の一部である場合。
  • データ処理がデータ対象者の重要な利益を保護する場合。
  • データ処理が公共の利益のため、またはデータ管理者に与えられた公的権限の行使のために必要である場合。
  • データ処理は、データ管理者または第三者が追求する正当な利益の目的のために必要であり、そのような利益が、個人データの保護を必要とするデータ対象者の利益または基本的権利と自由によって上書きされる場合を除きます。

目的の制限

個人情報を収集するのは、特定の明確で正当な目的(GDPR第5条第1項)のためにのみ行います。個人の同意を得ている場合や、法律で認められている場合を除き、その後の処理はその目的に沿ったものとします。

データの最小化

収集された個人データは、「適切で、関連性があり、個人データが処理される目的に関連して必要なものに限定されている」ものでなければなりません(GDPR第5条第1項)。この原則について、組織は、目的に必要な最小限の個人データしか保存していないことを確認しなければなりません。

データの精度

データは「正確で、完全で、必要に応じて最新の状態に保たれている」ものでなければなりません(GDPR第5条第1項)。組織は、情報が正確で、有効で、目的に合ったものであることを確認することが求められています。この原則には、組織が処理および保存しているデータをどのように維持するかに対処するためのプロセスとポリシーを持たなければならないということが含まれています。

ストレージの制限

組織は、個人データを収集した目的のために必要な期間、またはさらに許可された目的のために必要な期間のみ、個人データを保管するものとします(GDPR第5条第1項)

誠実さと機密性

個人データは、「不法な処理、偶発的な損失、破壊、損傷からの保護を含む適切な安全性を確保する方法で」取り扱われなければならない(GDPR第5条第1項)。個人データを収集・処理する組織は、データ主体のセキュリティリスクと権利に応じた適切なセキュリティ対策を実施する責任があります。

デザインによるプライバシーとデフォルトによるプライバシー

デザインによるプライバシー(GDPR第25条) – この原則は、組織が新たな処理活動をデザインしたり、新たなサービスを開発したりする際に、プライバシー保護のための最小化、匿名化、適切な保護措置の実施など、GDPRの原則に従わなければならないことを意味しています。

デフォルトでのプライバシー – 組織は、デフォルトでは、処理の特定の目的に必要な個人データのみが処理されることを保証するために、適切な技術的および組織的措置を実施しなければならない。この義務は、収集された個人データの量、処理の範囲、保存期間、アクセス可能性に適用されます。

説明責任

EU居住者の個人データを処理する組織は、前述のすべての原則を遵守していることに責任を持ち、それを証明できるようにしなければなりません。これは、以下のことを意味します。

  • GDPR の遵守を確実にし、実証するための技術的および組織的な対策を講じること。これらの対策には、データ保護責任者(DPO)の任命、セキュリティとデータ保護方針の見直し、スタッフのトレーニング、データ処理の定期的な監査などが含まれます。
  • どのようなデータが、どのように、どのような目的で、どのくらいの期間、どのように処理されるかについての適切な文書を維持すること。
  • デザインによるプライバシーとデフォルトによるプライバシーを設定する。これには、最小化、偽名化、透明性などの原則の適用が含まれます。

データ処理をしているプレイヤーは?

GDPRでは、個人データの権利または個人データの義務のいずれかを持つことになるデータ処理活動の異なるプレーヤーを特定しています。

データ対象者

データ対象者とは、個人データが関係する自然人のことです。このデータ対象者は、GDPRによって保護されるためには、欧州連合内に所在していなければなりません。新しい欧州規則の主な目的は、個人データを組織に提供するこれらの個人の権利を強化することです。

データ管理者

データ管理者とは、個人データがどのような目的で、どのような方法で処理されるかを決定する自然人または法人のことです。

データプロセッサ

データ処理者とは、データ管理者に代わってデータを処理する自然人または法人のことです。

サブプロセッサの日付

副処理者とは、データ処理者の指示に従って個人データを処理することに同意するデータ処理者が選択した自然人または法人を指します。

輸入者の日付

データ輸入者は、十分な保護が確保されていないEU域外に位置する自然人または法人です。

日付 エクスポーター

データ輸出者は、適切なレベルのデータ保護が確保されていない第三国に設立された処理業者またはサブ処理業者に個人データを転送するデータ管理者を指定します。

GDPRプレイヤーの義務とは?

GDPRは、EUの個人情報を処理するすべての組織に対して、その所在地に関わらず、データプライバシー規制の範囲を広く拡大しました。

GPDRは、データ管理者とデータ処理者の間の義務と責任のバランスを根本的に変えます。指令95/46/CEの下での義務とは異なり、GDPRは個人データの処理において遵守すべき新たな義務をデータ処理者に課しています。

データ管理者

データ管理者の概念はGDPRの下では基本的に変更されておらず、その義務も同様です。GDPRに従って、データ管理者は以下のことをしなければなりません。

  • データ保護の原則を実施し、デザインによるデータ保護とデフォルトによるデータ保護の原則を尊重する適切な技術的な組織的措置を採用することにより、GDPR を遵守する(GDPR第 24 条第 1 項および第 25 条)
  • 採用した措置とその有効性を証明する文書でコンプライアンスを実証する(GDPR第30条)
  • 技術的・組織的な対策に関して十分な保証を提供するデータ処理者との契約を締結する(GDPR第28条第1項)
  • 個人データがどのように、なぜ処理されているのかを示すために処理活動を記録する(GDPR第30条第5項)
  • 監督当局に協力する(GDPR第57条)
  • 個人データの漏洩を知ってから72時間以内に監督当局に通知する(GDPR第33条)
  • 個人情報の漏洩が自然人の権利と自由に対する高いリスクをもたらす可能性がある場合には、個人情報の漏洩をデータ対象者に不当な遅延なく伝える(GDPR第34条)
  • 処理がデータ対象者の権利と自由に大きなリスクをもたらす可能性がある場合には、データ保護の影響評価を実施する(GDPR 第 35 条)

データプロセッサ

GDPRは、データ処理者に重要な新たな義務と責任を課しています。GDPRに従って、データ処理者は以下のことをしなければなりません。

  • データ管理者の指示に基づいてのみ個人データを処理する。
  • データ管理者は、データ管理者の指示に基づいてのみ個人データを処理し、サブプロセサーを利用する前に、データ管理者から書面による承認を得る(GDPR第28条第2項)
  • データ管理者は、そのサブプロセサー(第三者または子会社を含む)の身元について情報を提供し、サブプロセサーの追加または交代に関する変更の予定について情報を提供します。
  • 個人情報の機密性を確保する。
  • データ処理活動の記録を維持すること。
  • 契約終了時に、要求に応じてすべての個人データを削除したり、データ管理者に返却したりする(GDPR 第 28 条第 3 項)
  • データ管理者が実施するコンプライアンス監査に貢献する(GDPR 第 28 条第 3 項)
  • GDPR の規則と要件に準拠した契約書のテンプレートを使用する。
  • 定期的に内部コンプライアンス監査を実施する。
  • データ違反が判明した場合は、遅滞なくデータ管理者に通知する(GDPR 第 33 条第 2 項)
  • 個人データが第三国に転送される場合には、適切な保護措置を講じる(GDPR 第 46 条)
  • トレーニングセッションを通じた社内のプライバシー意識向上キャンペーンを推進する。

サブプロセッサの日付

GDPRでは、データ処理者は、データ管理者の事前の書面による同意なしにデータサブプロセッサを任命してはならないとされています。データ処理者とサプライヤー(データサブプロセッサー)との間の契約には、データ処理者とデータ管理者(依頼者)との間の契約と同じデータ保護義務が含まれています。

データ対象者の権利

GDPRでは、データ収集と処理活動に関連したGDPRの下で適用される通知、同意、その他の要件を考慮することに加えて、データ主体の権利が非常に重要視されています。GDPRは、消去権データポータビリティなど、既存の権利に新たな視点をもたらすデータ主体の新しい権利や保護を組み込むことで、個人の既存の権利を統合し、強化しています。

情報提供を受ける権利

この権利により、組織はプライバシー通知のような「公正な処理情報」を提供することが義務付けられています。GDPRでは、個人データの処理の「方法と理由」とデータ対象者の権利について、より詳細な情報を提供することが求められています。また、データ対象者が適切な措置をとることができるように、データ違反が発生した場合にデータ対象者に情報を提供する権利も含まれています。

アクセス権

個人は、自分のデータが処理されていることを確認し、それにアクセスする権利を有しています。アクセス権は、データ対象者に、人間が読める形でデータのコピーを要求する権利を与えます。

整流権

個人は、不正確なデータを修正してもらう権利、および/または補足データで不完全なデータを記入してもらう権利がある。

消去権

「忘れられる権利」として知られることもありますが、企業がデータの処理を継続するための合法的な根拠がない場合、個人は個人データを消去する権利があります。場合によっては、または個人データの種類によっては、会社がデータを消去しない代わりにその使用を制限することもあります(例えば、法的な請求があった場合にのみ使用できるようにするなど)。

処理制限権

先行指令の下では、個人は個人データの処理を「ブロック」したり、抑制したりする権利を持っていました。GDPRの下での処理の制限も同様である。処理が制限されている場合、個人データを保存することは認められていますが、それ以上の処理は認められていません。将来的に制限が尊重されることを確実にするために、個人に関する十分な情報だけを保持することが認められています。

データのポータビリティの権利

個人は、組織に提供した個人データを、一般的に使用されている機械読み取り可能な形式で受け取る権利があり、別の組織と共有することができます。

オブジェクトへの権利

状況によっては、個人は特定の目的のために個人データが使用されることに異議を唱える権利を有しています。例えば、ダイレクトマーケティングの受信や自動化された処理のみに基づく決定を受けることに異議を唱えることができます。

自動化された個別判断の対象とならない権利

GDPRは、人の手を介さずにダメージを与える可能性のある決定が行われるリスクに対する保護措置を提供しています。

【徹底解説】GDPR(EU一般データ保護規則)とは何か概要を説明

来るべきGDPRの規制に伴い、個人データの管理者と処理者にはどのような義務が課せられるのか、また、組織はどのように準拠するべきなのか。

要約

本稿では、2016年4月27日に発行され、2018年5月25日から適用される新しいGDPR規制について検討する。

いわゆるデータ対象者である特定または識別可能な人物に関するデータを処理する組織は、GDPRを遵守する必要があり、そうしなかった場合の影響は相当なものになる可能性があります。罰金は、組織の全世界売上高の4%、または最高2,000万ユーロのいずれか高い方に達する可能性があります。

GDPRでは、管理者や処理者に課せられる義務が数多くありますが、その目的は明白ですが、特定の組織やシナリオに直接適用する方法を理解するのは難しいでしょう。このホワイトペーパーでは、主要な要件を見ていき、それらを実践的に理解するための助けを提供していきます。このホワイトペーパーには、組織が準拠するための実用的なGDPRチェックリストが含まれています。

GDPRのスコープ

GDPRは、自動化された手段によるデータ処理に焦点を当てていますが、自動化されていないファイリングシステムの一部を形成するデータにも関連することがあります。

大まかに言えば、欧州市民に関する個人データを処理する者は誰でも、管理者やデータ処理の拠点がEUにあるかどうかに関わらず、GDPRの規則の対象となります。

基本原理

GDPRは、個人データに適用されるいくつかの基本原則を定めています。

第一に、データは合法的に処理される必要があります。実際的には、これはデータ対象者が個人データの処理に同意しているか、処理者かデータ対象者かに関わらず、様々な法的義務の履行のために処理が必要であることを意味します。合法的な同意の定義については、以下の別項で説明します。

データは、指定された明確で正当な目的のためにのみ収集されるものとします。これは目的の制限と呼ばれる原則です。したがって、データ資産を特定かつ正当な目的にマッピングすることが求められます。

データの最小化とは、処理されるデータは、適切で、関連性があり、処理される目的に関連して必要なものに限定される必要があることを意味します。したがって、単に資産を目的に結びつけるだけでなく、収集したデータが適切性、関連性、必要性のテストに合格しているかどうかを継続的に確認し、合格していない場合はデータを消去する必要があります。

データは正確でなければならず、必要に応じて最新の状態に保つ必要があり、不正確なデータは消去または修正されなければならない。これはデータ管理者にとって明らかに困難な課題であり、これを解決する一つの方法は、時間の経過とともに変化する可能性のあるデータ資産またはカテゴリをセットとしてタグ付けし、これらのデータ資産を更新するための変更プロセスを確立することであろう。

データは必要以上に長く保存してはならない。これは、合法的な処理の根拠としての必要性が期限切れになったら、データを消去する必要があることを意味する。合法性が必要性に基づいている場合は、データ資産にその必要性の理由をタグ付けする必要があり、上記のデータの正確性に関するポイントと同様のレビュープロセスで、合法性の基準がまだ満たされているかどうかを定期的にチェックする必要がある。

管理者は、技術的および組織的な対策を用いて個人データの安全性を確保する必要がある。規則ではデータの完全性と機密性について述べていますが、これはデータが変更されておらず、データが暗号化されていることを意味します。GDPRでは、データ資産を保護するために暗号化を使用することを明示的に定めていますが、暗号化だけでは十分ではありません。データが紛失、破損、改ざん、破壊、不法処理されていないことを証明するためには、しっかりとした鍵管理プロセス、ポリシー、コントロールが必要です。

暗号化は技術的な手段でしか達成できないが、理論的には、鍵管理は手動のプロセス、ポリシー、および管理で行うことができる。しかし実際には、複雑なモバイル環境やクラウド環境では、鍵管理のポリシー、手順、コントロールを実行する自動化されたシステムが不可欠です。

同意

同意は、データ対象者による明確な肯定的な行為である必要があります。同意とは、「自由に与えられた、具体的で、情報を得た上で、データ対象者が自分に関する個人データの処理に同意していることを明確に示すもの」であると規定では定義されています。

それは、書面または口頭での声明である可能性があり、それはウェブサイトを訪問するときにボックスにチェックを入れることさえできますが、沈黙の同意、非活動性と事前にチェックを入れたボックスは同意を構成しません。

データ主体の権利

データ対象者は、GDPR によって定義された多くの権利を有しています。これらの権利は、管理者と処理者にとって、関連するデータ資産を迅速に特定し、必要な措置を講じるために検索するという点で、実用的な問題を引き起こします。以下に、留意すべき重要な権利をいくつか挙げます。

アクセス権は、データ対象者に、個人データが処理されているかどうか、処理の目的、データのカテゴリー、 データが誰に開示されるか、データに基づいて自動化された意思決定があるかどうか、データが保存されると予想さ れる期間を知る権利を与える。したがって、コントローラは、この追加情報を迅速に検索して提示できるようにするために、個人データに追加のタグを追加する必要があります。

データ対象者には忘れられる権利があり、これはデータ処理に同意しなくなった、または処理する必要がなくなったデータの消去を要求する権利を意味する。前述したように、このためには、管理者はデータ資産のインベントリを迅速に取得し、どのデータを消去することができるかを確認する必要があります。

データポータビリティの権利とは、データ対象者がいつでも自分に関する個人データを機械可読形式で受け取ることができるようにすることを意味します。この権利はまた、データ対象者がすべての個人データを簡単な方法で新しい管理者とデータ処理者に移動できるようにすることも目的としています。

コントローラとプロセッサの責任

GDPRでは、管理者と処理者の多くの責任について詳細に説明しています。主なものは以下の通りです。

処理者は、管理者の承認なしに他の処理者を雇用してはならない。管理者とデータ処理者の間の契約関係については、詳細な要件があります。

コントローラーは、その処理活動の記録を保持することが要求される。この文書には、必要な記録のテンプレートが添付されている。

セキュリティ

管理者は、処理されたデータの安全性を確保するために、明示的に暗号化を使用することが求められます。管理者は、本記事に記載されているように、基本的な原則、義務、およびデータ主体の権利に基づいて、データ処理を設計し、デフォルトで構築することが求められます。これは例えば、システムがデータ最小化の原則に従って設計されるべきであることを意味し、言い換えれば、適切で、関連性があり、必要なデータのみを保存することを意味する。そうすることで、違反があった場合の責任を軽減することができ、そうしないこと自体が規制の違反となり、責任を問われる可能性があります。データの最小化はゼロトラストの原則にも当てはまる重要な考え方です。ゼロトラストの実現方法に関心がある方は是非他の記事もご覧ください。

重要かつ明確な要件は、管理者および処理者が、管理者または処理者の権限の下で行動し、 個人データにアクセスできる者が、管理者からの指示がある場合を除き、個人データを処理しないようにする ための措置を講じなければならないということである。この後者の要件は、組織的または自動化されたものであっても、しっかりとした鍵となる管理方法と管理方法を採用することによってのみ、合理的に達成することができる。

違反通知

セキュリティ侵害が発生した場合、個人データの侵害が自然人の権利と自由に対するリスクをもたらす可能性が低い場合を除き、管理者は監督当局に報告する義務があります。実際には、これは、違反が発生したときにデータが暗号化されていれば、通知は必要ないという意味に翻訳することができます。

データ対象者への通知義務についても、上記と同じ原則が適用されます。いずれの場合も、違反がリスクにつながる可能性が低いと判断できるかどうかは、暗号化システムの価値は暗号化キー管理に勝るとも劣らないため、管理者が利用できる暗号化キー管理にも依存します。

個人情報の第三国への転送

第三国への移転の基本的な要件は、当該国が十分な保護水準を確保していると欧州委員会が判断したことである。欧州委員会は、関連する第三国のリストを欧州連合の官報に掲載するとともに、欧州連合のウェブサイトに掲載しなければならない。

管理者または処理者に個人データの転送または開示を要求する第三国の裁判所の判決および行政当局の決定は、その国と欧州連合(EU)との間の国際協定に基づいている場合に限り、いかなる方法でも認められるか、または強制力を持つことができます。

賠償責任

GDPRに違反して損害を被ったデータ主体は、被った損害の補償を受ける権利を有しており、その処理によって生じた損害については、管理者が責任を負うものとします。

責任の額は、侵害の性質や重大性、故意か過失か、その他多くの考慮事項によって決まる。しかし、責任のリスクを軽減するための鍵は、基本的な原則と管理者の一般的な責任を遵守するために行動が取られたことを証明する能力にあります。

基本原則、データ主体の権利、および個人データの第三国への移転をめぐる規則の違反に対しては、全世界の売上高の4%または2,000,000,000ユーロのいずれか高い方の最高責任が留保されます。

全世界の売上高の2%または1万ユーロの低額賠償責任は、処理システムのセキュリティ設計の不備を含む、より少ない侵害に適用されます。

考察

GDPRでは、時間をかけてデータをふるいにかけ、それを最新の状態に保つために、管理者や処理者に、現在の一般的なものよりも詳細なデータ資産のインベントリを要求しています。このインベントリは、データ主体の権利を迅速に遵守するための鍵となります。

暗号化技術は明確な要件ですが、暗号化されたデータにアクセスできるのは権限のある者だけであると判断する能力も必要です。これは、手動のポリシーと手順で達成するのは難しく、複雑であるため、デジタルでポリシーを実施する自動化されたシステムが必要とされています。

結論

コンプライアンスのポイントは、まず、データ資産のカテゴリーと、時間、適法性、目的などに関連した多数の修飾タグを包括的にインベントリ化し、容易に検索でき、監査可能な状態にする努力をすることである。関連するデータタグのテンプレートを以下に示す。これらのタグは、簡単に検索可能で監査可能なものでなければならず、基礎となるデータは、消去、変更、移動が可能なものでなければならない。

GDPRのもう一つの鍵は暗号化と鍵管理です。鍵管理のコントロール、手順、ポリシーを実施する自動化された暗号化と鍵管理システムは、データの量やデバイスの消費・保存量が増加し、ますます複雑化する環境において、この規制を遵守する唯一の方法であると考えられます。

GDPR対応の重要な事実

この文書は、来るべきEU一般データ保護規則(GDPR)の概要を説明するものであり、法律的なアドバイスを提供するものではありません。お客様の特定の状況を規定する要件を熟知するために、お客様ご自身の弁護士にご相談されることをお勧めします。一方で多くの企業がGDPRとGDPRの下での新たな義務について疑問を持っていることを私たちは知っています。そこで、お客様のコンプライアンスを支援するために、以下にGDPRの注目すべき規定の概要をご紹介します。

続きを読む