企業はどのようにデータプライバシー要件に取り組むべきか| CookieFirst ブログ
目次
すべての組織は、いずれ、データ・プライバシー要件に対処する必要がある
新しいソフトウェアを開発するにも、製品を販売するにも、ビジネスの種類は関係なく、成功するためにはデータが必要です。データは、おそらく組織が持つ最も貴重な資産ですが、それを収集する際には、プライバシー要件に配慮する必要があります。
例えば、サイバー脅威を軽減し、適用される規制に確実に準拠するためには、どうすればよいのでしょうか。顧客のセキュリティを損なうことなく、必要なデータを確実に取得するにはどうすればよいのでしょうか。
このガイドでは、適用される可能性のある規制の概要、検討すべき技術、ポリシーやトレーニングプログラムの作成方法など、データプライバシー要件にどのように取り組むべきかを説明します。
ぜひご覧ください。
適用される規制を理解する
データプライバシー要件に取り組む最初のステップは、どの法律があなたの組織に適用されるかを決定することです。サイバーセキュリティは、世界中の規制当局の最優先事項となっており、プライバシー法は、企業が個人情報を収集し処理する方法を保護し規制することを目的としています。
データプライバシー法が施行されている国は125カ国以上あり、どの法律が自社に適用されるかを認識することが重要です。ここでは、最もよく知られた規制をいくつか紹介していきたいと思います。:
GDPR(General Data Protection Regulation)
データプライバシー法として最もよく知られているのは、GDPRまたは一般データ保護規則です。この法律は欧州連合で策定され、一般に最も包括的で効果的な国際的データセキュリティ規制とみなされています。
では、GDPRは具体的に何をする法律なのでしょうか。簡単に言うと、EU圏内に住む個人の個人情報を組織がどのように処理するかを規定するものです。個人の権利を保護し、トラッキングクッキーやその他のトラッキング技術の使用に対する同意の取得、適切なセキュリティ対策の実施など、企業がデータを収集する前に従わなければならないルールを定めています。
英国は最近、EUに適用されるGDPRと同じ内容の独自版を採択しました。ただし、英国特有の要件に対応するために、いくつかの変更点が含まれています。
PIPEDA(The Personal Information Protection Electronic Documents Act)
個人情報保護電子文書法、または略してPIPEDAは、カナダでのデータセキュリティを規定するプライバシー法です。それは商業利用のためにデータを処理するカナダのすべての民間企業に適用され、それはカナダ国民の個人情報を目指しています。
オーストラリア個人情報保護法(Australia Privacy Act)
この法律は、オーストラリア国民に関連するデータを収集または処理する組織に適用されます。この法律は1988年に制定されましたが、技術やビジネス慣行の変化に対応するため、何度か改正が行われています。
CCPA(California Consumer Privacy Act)
カリフォルニア州のCCPA(California Consumer Privacy Act)は、米国で最初に制定されたデータプライバシー法の1つです。この法律は、カリフォルニア州の住民を保護し、データの収集、使用、保存の方法について、個人が完全にコントロールできるようにするものです。
PDPA(The Personal Data Protection Act)
個人データ保護法(PDPA)は、シンガポールのデータプライバシーに関する法規制です。シンガポールにおけるデータの収集、使用、開示の方法について規定しています。
組織的な方針とトレーニングプログラムの作成
プライバシーに関する要求事項や規制を明確に理解した上で、ポリシーを作成し、従業員に対するトレーニングプログラムを作成する必要があります。
データ・プライバシー・ポリシーは、データの収集、処理、保存に関連するすべての指針となる文書です。この法的文書には、GDPRなどの規制やその他の関連法を遵守するために組織が従うべきすべてのルールが含まれます。
チームの指針となるプライバシーポリシーを作成するだけでなく、ポリシーを実行に移すための効果的な実装も必要です。顧客データを保護し、セキュリティを強化するために取るべき措置も、文書で定義する必要があります。
組織におけるデータ・プライバシーの基礎を作ったら、次は従業員を教育し、意識を高めることです。導入は、業務プロセスやビジネスカルチャーの一部として組み込むことで初めて成功するものであり、トレーニングプログラムはそのための重要な要素です。
すべての従業員が、業界のベストプラクティス、データセキュリティの原則、プライバシー慣行、サイバーセキュリティの脅威などに関するトレーニングを受ける必要があります。トレーニング後、各従業員は社内のポリシーと要件を理解する責任を負う必要があります。このトレーニングをオンボーディングプログラムに組み込み、法律の変更や進化に合わせて定期的に再教育を行うことを検討してください。
適切なテクノロジーへの投資
データ・プライバシー要件に取り組む上で最も重要なことのひとつは、適切なテクノロジーに投資することです。データ規制の遵守を怠ると、高額な罰則や財務上の損失、評判の悪化につながる可能性があるため、そうならないようにするための高度なツールが必要です。
個人情報保護プロセスを自動化し、データを保護するためのテクノロジーを活用すれば、より効果的です。ここでは、そのための最も一般的なシステムとソフトウェアをいくつか紹介します。
ファイアウォール
ファイアウォールは、サイバーセキュリティの脅威に対する防御の第一層です。ファイアウォールは、基本的には、インバウンドとアウトバウンドのネットワークトラフィックを監視するためのハードウェアとソフトウェアを指します。ファイアウォールは、設定したルールに従ってトラフィックをフィルタリングし、ビジネス・データをより確実に保護することができます。
暗号化・トークン化ツール
暗号化およびトークン化ツールは、お客様の組織がデータを安全に保ち、プライバシー規制を遵守する上でも役立ちます。
暗号化という用語は、特定のユーザーだけが情報にアクセスできるようにするための技術を指します。暗号化では、ユーザーがデータを解読するために固有の暗号化キーを使用する必要があるため、第三者がデータを傍受したとしても、それを読み取ることはできません。
トークン化も同様の手法ですが、データを暗号化する代わりに、ランダムな文字に置き換えます。この文字列をトークンと呼び、ユーザーが逆引きして元の情報にアクセスするためには、トークン保存庫が必要です。
コンセントマネジメントプラットフォーム(CMP)
トラッキングクッキーやその他のトラッキング技術のサードパーティスクリプトの使用に対する同意を取得、保存、管理するために、皆さんの組織にはCookieFirstのクッキー同意ツールのような同意管理プラットフォームが必要です。ほとんどのデータプライバシー規制では、同意を証明できるようにすることが求められています。そのため、ユーザーの同意は記録される必要があります。CookieFirst CMP for Cookie Consentはまさにそのためのツールです。機能の概要をご覧ください。
データ損失防止ソフトウェア
DLP(データ損失防止ソフトウェア)は、機密情報に関連する活動を監視することができます。特定の行動を検出し、データの流れを追跡することで、侵入や不慮の削除などの重大な事故を防ぐことができます。
データ消去ソフト
また、ほとんどのデータプライバシー規制では、情報の廃棄方法についても規定されています。そこで、電子データを削除し、復元不可能であることを確認するために、データ消去ソフトウェアが活躍します。
ユーザーデータが不要になったと判断したら、この技術を活用して削除することが推奨されます。
エンドポイントプロテクションプラットフォーム
EPP(Endpoint Protection Platforms)は、データプライバシー要件に取り組む計画の一部である必要があります。この技術は、データ損失、マルウェア、その他の悪意のある活動やセキュリティの欠如を防ぐためにデバイスにインストールされます。
例えば、ルーター、モバイル機器、ネットワーク、そしてプリンターもEPPで保護することができます。
不要なデータ収集を避ける
もう一つ重要なことは、不必要なデータ収集を避けることです。簡単に言えば、情報を収集する必要がない場合、またはビジネスプロセスに付加価値をもたらさない場合は、情報を求めないことです。
特定のビジネス目的を遂行するために必要な詳細情報のみを収集・保存し、それが不要になるまで保管しておく必要があります。その時点で、記録からデータを安全に削除するのはあなたの責任です。データ収集を最小限に抑えることで、GDPRなどのデータ規制への違反を回避できるだけでなく、データの保管・処理コストを削減することも可能になります。
同様に、収集するデータに関しても、透明性を確保するよう努める必要があります。どのような情報を保管しているのか、その理由は何か、その情報をどのように扱う予定なのかを顧客に知らせることで、信頼を築き、顧客が同意を提供したり取り消したりできるようにします。
また、収集したデータのインベントリーを作成することも検討してください。ここで、機密性のレベルに基づいてデータを分類し、その情報を使って、セキュリティと保存のための次のステップを決定することができます。例えば、さまざまなレベルの機密データに対して異なるポリシーを導入することで、最大限の効率性と安全性を確保することができます。
プライバシー・バイ・デザインへの取り組み
組織でセキュリティ要件に取り組む際には、プライバシー・バイ・デザインに重点を置いてください。GDPR、PIPEDA、CCPAのいずれであっても、ビジネスの各工程でコンプライアンスを組み込む必要があります。
言い換えれば、データ・プライバシーの要件を検討するのは、ビジネス・プロセスを立ち上げた後ではいけないということです。むしろ、最初からコンプライアンスを意識してビジネスプロセスを設計する必要があるのです。そうすれば、高額な罰則を受けたり、ビジネスプロセス全体を再設計しなければならない事態を回避することができます。
– CookieFirstブログより引用
