欧州連合 (EU) 全体のデータ保護およびプライバシー法は、一般データ保護規則 (GDPR) によって更新され、統合されました。これは 1995 年の EU データ保護指令に替わるものです。
欧州議会は、2016 年 4 月 14 日にデータ保護法を承認しましたが、発効は 2018 年 5 月 25 日でした。このため、多くの人が GDPR を 2018 年のデータ保護法と呼んでいます。GDPR は、EU の 28 のすべての加盟国のデータプライバシー法を和合させ、一貫性のある 99 の条項を規定して個人の権利と保護を強化しました。この登場は、EU の消費者のデータプライバシーに対する懸念が高まったことがきっかけとなりました。
RSA Data Privacy & Security レポートでは、消費者の 41% がデータプライバシーへの信頼性の低さや煩わしいマーケティングへの懸念から、不正確な個人情報を企業に提出していることがわかりました。また、調査対象となった世界中の消費者の 90% が、個人データの損失、操作、窃盗に対する懸念を示しています。
多くの人が GDPR を、権利の見直しではなくデータ保護およびプライバシーに関する革命と評しています。新たな指令では、ビジネスの透明性の維持を重視し、消費者のプライバシー権 (データ主体) の拡張に焦点を当てています。たとえば、重大なセキュリティ侵害を検出した企業は、72 時間以内に監督当局と影響を受けるすべての個人に通知しなければなりません。
GDPR の要件は、データを収集する企業が EU を拠点とするかどうかに関係なく、EU 加盟国民が生成するすべてのデータに適用されます。情報が EU に保存されているすべての人 (EU 加盟国民以外を含む) にも影響します。さらに、規則に違反する企業には高額の罰金が科せられます。
GDPR とは、一般データ保護規則 (General Data Protection Regulation) を表します。企業と組織に EU 加盟国内で発生する取引での EU 加盟国民のデータとプライバシーの保護を要求する規定を含むデータ保護法です。企業が個人データを EU 外部へエクスポートする方法についても規制しています。人々が情報にアクセスできる方法と企業が個人データを扱うときに従うべき制限事項を拡張する、世界最強のデータ保護標準と見なされるようになりました。
GDPR は、大規模なデータ処理およびデータ主体監視を実行する企業と組織に、データ保護責任者 (DPO) を置くことを求めています。DPO は、企業のデータガバナンスとコンプライアンスに関する責任者です。
GDPR 規則に準拠しない企業には、2,000 万ユーロ (約 2,207 万ドル) と年間収益全体の 4% の罰金のいずれか多いほうなど、法的な影響がもたらされます。さらに DPO では、個人データを維持するために適切なデータ保護原則が確実に適用されます。
GDPR の存在理由は、プライバシーへの社会的関心です。インターネットが現代のオンラインビジネスのハブとなるはるか前に制定された、1995 年の EU データ保護指令に替わるものです。企業がデータを収集、変換、保存する方法に対応できない古い指令を置き換えるためには、GDPR が必要とされたのです。
現在、GDPR が EU の全住民とそのデータを保護し、データを収集および保存する企業が責任を持ってデータを保護するようにしています。企業には、個人データの安全な保持を義務付け、不正または違法な処理、損害、破壊、偶発的な損失からデータを保護することが求められています。これには、ランサムウェアやマルウェアに関連するさまざまな活動が含まれます。
また、GDPR では、個人データを収集する理由を特定し、それが特定の正当な目的のためでなければならず、企業はその意図以外にデータを使用してはならないことを規定しています。この規則は組織と企業が収集できるデータの量の制限にまで及びます。データの収集は企業がデータを処理および使用する目的のために必要なものだけに制限されることを規定しています。
さらに、GDPR では、データを収集する企業がデータの正確性を確保し、必要に応じて更新することが規定されています。
企業は、以下の規定の条件を満たしていない場合、個人を特定できる情報を合法的に処理できません。
GDPR を課す目的は、加盟国で統一された EU データセキュリティ法を使用して、各加盟国がさまざまなデータ保護法を作成して施行する必要がないようにすることです。さらに、GDPR は EU で生まれましたが、この地域以外のグローバル企業にも適用されます。
たとえば、米国を拠点とし、EU で事業を展開し、EU 居住者および市民のデータを収集して処理する企業に適用されます。PWC の調査では、米国拠点の企業の 92% が GDPR データ保護を優先事項と見なしています。
その他の企業向けのコンプライアンス条件は次のとおりです。
GDPR では、個人データの保護に重点を置いています。個人データとは、生存している人を直接または間接的に特定する情報です。氏名、場所データ、明確なオンラインユーザー名などの明らかなものもあれば、cookie 識別子や IP アドレスなどの不明確なものもあります。
以下に関する情報など、機密性の高い個人データカテゴリの保護を強化します。
個人の特定を可能にするものという個人データの定義は極めて重要なものです。つまり、仮名化されたデータもこの広範な文脈においては個人データに分類されます。個人データが極めて重要なのは、この法の対象が個人データを処理または管理する個人、企業、および組織であるためです。
GDPR では、以下の 3 つの役割を定義しています。
管理者は意思決定者であり、個人データの処理とその目的、用途を管理します。個人データ共同管理者が存在する場合もあり、収集したデータの処理方法を 2 つ以上の事業体が決定します。一方、処理者は、適切な管理者の指示に従い、管理者に代わって処理を実行します。このため、管理者には、処理者よりも厳格な規則が適用されます。
ユーザーは、個人データを収集して使用することを希望する組織や企業に同意する必要があります。この場合、個人データとは、生存し、特定されている、または特定可能な自然人 (通常はデータ主体と呼ばれます) に関する情報のことです。
前述のとおり、個人データには以下の情報が含まれることがあります。
GDPR は、オンラインサイトへの訪問者に cookie などの収集されるデータについて通知することを企業と組織に義務付けています。訪問者は、同意ボタンをクリックして情報の提供に同意する必要があります。たとえば、多くのサイトには、サイトが cookie (サイト設定などの個人情報を保持する小さなファイル) を収集することを訪問者に通知するポップアップ開示が用意されています。
Web サイトでは、企業またはサイトが保持する個人データが侵害された場合、訪問者とユーザーに早期に通知する必要があります。これらの EU データ保護要件は、ほとんどの場合、他の法域における要件よりも厳格です。
その他の必須事項には、Web サイトのデータセキュリティの評価、このような職務を実行するためのデータ保護責任者の配置要件などがあります。また、企業は、DPO およびその他の関連従業員の連絡先情報を提供し、その GDPR 権利を履行する際のアクセスを容易にする必要があります。これらには、特に個人データをサイトから消去する権利が含まれます。
GDPR は、企業とその他の収集者が収集した個人データを匿名化または仮名化し、ID を仮名に置き換えることによって消費者の保護をさらに強化します。これらの対策により、企業は、ローンの弁済能力評価のための要件範囲を超える顧客の平均負債比率の評価など、より広範なデータ分析を実行できます。
顧客から収集したもの以外のデータにも、GDPR が影響を及ぼすことにも触れておく必要があるでしょう。たとえば、規則は従業員の人事記録にも適用されます。
EU GDPR には 11 の章と 91 の条項があります。以下は、企業のセキュリティ運用に影響を及ぼす主な条項です。
第 5 条には 7 つの基本原則が規定されています。これらの原則は、企業がユーザーのデータを取り扱う方法の指針となるものです。従うにあたって複雑な規則ではありませんが、GDPR の目的を示すように設計された優先フレームワークです。
多くの原則は、以前のデータ保護法の原則と同様のものです。7 つの原則は次のとおりです。
GDPR の上記の原則は、データ保護法に基づくデータ主体の特定の権利に基づいています。これには、次のような権利が含まれます。
個人データに影響を及ぼすセキュリティ違反が発生した場合、データ管理者は、72 時間以内に監督当局 (EU 加盟国がコンプライアンス監督のために指定する公的機関) に通知します。違反に関するその他の通知要件は次のとおりです。
GDPR では、規則の違反者に対して段階的に罰金を科します。侵害の範囲と種類に応じ、2 つのレベルの罰金があります。
2016 年の GDPR の展開後にほとんどの企業が注目した最大の論点は、規制当局がコンプライアンス違反に対して厳しい罰金を科すことができるようになった点です。規制当局は、個人データの不正な処理、義務付けられているデータ保護責任者の不在、セキュリティ違反など、どのような違反に対しても企業に罰金を科すことができます。
第三者の個人データ (EU のデータ主体以外の関係者からのデータ) と地域外での個人情報の共有に関する複数の規則があります。2018 年のデータ保護法では、以下が規定されています。
英国は EU からの離脱後、データ保護法を更新し、現在は 2018 年のデータ保護法を使用しています。EU の顧客や企業と取引のある英国企業は GDPR を遵守する必要があることが規定されています。
GDPR がデータ処理者とデータ管理者に同等の責任を課していることに注目してください。つまり、第三者の処理者によるコンプライアンス違反は、企業のコンプライアンスステータスに影響を及ぼします。法令では、チェーン内でのレポート違反についても厳格な要件が定められています。
したがって、管理者の SaaS ベンダー、給与支払サービスプロバイダ、クラウドプロバイダなどの処理者や顧客との既存の契約では、各自の責任を明確にする必要があります。また、契約には、データの管理、収集、保護、保存と違反報告のための一貫したプロセスも含める必要があります。
では、企業がコンプライアンスを確保するにはどうすればよいでしょうか? 規則には、責任あるデータ管理に想定される結果は記述されていますが、その目標を達成するための技術的な対策は規定されていません。以下は、コンプライアンスを確保するためのベストプラクティスです。
デジタル変革により、世界中のビジネスに適用される規制ルールが再定義されています。米国の企業は現在、そのビジネスの性質から、複数のサイバーセキュリティコンプライアンス規制 (GDPR、カリフォルニア消費者保護法 (CCPA) など) の対象になっています。(CCPA の最新情報については、CPRA を参照してください)
通信プラットフォームやオンライン運用環境が増加したため、コンプライアンス管理が厳格になり、そのためのコストも増えています。このため企業は、コンプライアンスを維持しながら生産性を高め、業務を拡張できる、効果的かつコストを抑えた方法を探しています。
ベリタスのデータコンプライアンス機能の統合ポートフォリオは、異なるデータソース間のインテリジェンスを統合し、それによってアクセスの合理化、規制コンプライアンスの確保、インサイトの提供、分析のサポート、企業のリスクの最小化を実現します。
コンプライアンスとエンタープライズデータ管理のためのベリタスの統合アプローチにより、ビッグダークデータが実用的なインサイトに変わります。さらに、ベリタスの Data Insight 統合によるレポート機能や視覚化機能を使用することで、危険な状態にあるデータを識別し、データ所有者を関与させ、機密扱いの個人データへのアクセスを制限して、データコンプライアンスと意思決定を改善できます。
さらに、Veritas Integrated Classification Engine により、ダークデータというデータセキュリティとコンプライアンスの問題が解消されます。ガートナーマジック・クアドラントのリーダーとして、ベリタスはエンタープライズ情報アーカイブ市場をリードしています。ユーザーはどこにいても、どこからでもデータをアーカイブし、取得することができます。
ベリタスは市場で最高レベルの統合製品ポートフォリオを提供しています。包括的で堅ろうなテクノロジエコシステムによって支えられており、Veritas Enterprise Data Services が実現する規模と汎用性に匹敵するプロバイダは他にありません。