知っておくべきこと:GDPR

ケンブリッジ アナリティカによる Facebook ユーザーのデータの悪用は、世界中の何百万もの人々の注目を集めました。これまで以上に、データのプライバシーとデータ保護の重要性を人々に認識させました。人々は、データのプライバシーとセキュリティに関する精査の増加に非常に懸念を抱いています。組織が顧客の個人データをどのように保存、処理、分析、使用するかという問題を認識し、GDPR が顧客データの保護に関する厳格な新しい規則を決定する強力な規制を作成した EU に大いに感謝します。

では、この規制は何を示しているのでしょうか。この記事で調べてみましょう。

GDPR とは?

GDPR (General Data Protection Regulation) は、EU 市民のデータを保持または処理するすべての企業に影響を与える可能性がある欧州連合の法律です。 EU 加盟国内での取引中に、企業が EU 市民の個人データを保護するための規定を作成することを目的としています。

過去数か月間、データの問題は主要なニュースであり、データの管理とセキュリティが不十分であるとして主要な技術者が攻撃を受けました。 GDPR により、企業は市民の個人データを合理的な方法で管理および処理する必要があります。したがって、彼らがデータを使用する方法が、一般の期待とプライバシーに沿っていることを確認します。この法律の下では、組織は絶対に必要なデータのみを保持および処理する必要もあります。

GDPR は、以下を含むデータのプライバシーを保護することを目的としています。

名前、住所、ID 番号、連絡先などの基本情報

• 生体認証データ
• 人種/民族データ
• 政治的意見
• 位置情報、IP アドレス、Cookie データなどのウェブ データ

GDPR は 2018 年 5 月 25 日に施行されますが、このアイデアは 2 年前の 2016 年 4 月に生まれました。

GDPR によると、個人データは次のようにする必要があります:

<オール>

公正かつ透明性のある方法で処理されるため、顧客は自分のデータがどのように使用されるか、または使用されるかを十分に認識している必要があります。

特定の正当な目的のためにのみ記録されています。

正確に維持し、更新し、必要な場合にのみ使用してください。

データ保護を保証する方法で準備および処理する

関連記事 :オンラインでより安全になるための 5 つのドキュメンタリー

GDPR が必要な理由

GDPR の起草の背後にある理由は、データ プライバシーとデータ保護法を一致させたいという欧州連合の願望です。たとえば、Amazon、Facebook、Google、Twitter などのプラットフォームがユーザーのデータをどのように使用しているかのように、これらのテクノロジーの巨人がユーザーの情報を販売している限り、ADware をユーザーに詰め込んでいます。このような大規模な許可を与えることの危険な結果は、2016 年の米国大統領選挙に影響を与えるために何百万ものプロファイルが収集されたケンブリッジ アナリティカのケースで明確に示されています。

次の理由は、インターネットとクラウドがこれらのプラットフォームで一般の個人データの使用と悪用を許可しているデータの問題を修正することです。

この規制の対象となるのはどのような企業ですか?

• EU 諸国内で EU 市民データを保存または管理する会社
• 会社が EU の境界内になくても、会社にヨーロッパのクライアントがいて、データを何らかの方法で保存していても.その特定の会社は、GDPR の下でも存続できます。
• 従業員が 250 人を超える会社
• メンバーは 250 人未満ですが、そのデータ処理システムはデータ主体に影響を与えるか、ヨーロッパの居住者に関する機密情報を含んでいます。

これは基本的に、ほぼすべての企業が、企業の目標と規制の最優先事項である GDPR を考慮する必要があることを意味します。

GDPR は組織にとって何を意味しますか?

EU 市民のデータを保持および使用する組織は、会社の所在地に関係なく、この法律に基づく新しい規則に従う義務があります。これまで企業は、さまざまな手段でデータを蓄積してデータをマイニングしていました。しかし、これは当面中止します。オンラインでの行動を追跡することによってユーザーのデータを使用するすべての組織は、ユーザー フレンドリーな言葉で顧客から同意を得る必要があり、限られた期間にわたってこのデータ セットを使用できます。

素人にとってはどういう意味ですか?

組織は、個人情報を調べる前にユーザーに同意することが必須であるため.ユーザーは、頻繁に警告と同意要求に直面することになります。これは共同作業であるため、ユーザーは利用規約を少なくとも 1 回確認することもお勧めします。

企業はどのような変更を実装する必要がありますか?

一般データ保護規則の制定により、企業は、個人の同意を得て個人データを保存および処理するために、さまざまなアプローチを採用する必要があります。

<オール>

すべての機密データを保管するための安全な場所があることを確認してください。データが正確で機密であることを確認します。必要なときにいつでも利用でき、十分に暗号化されてバックアップされている

サプライヤーも GDPR に準拠していることを忘れないでください。データの処理に使用するサービス プロバイダはすべて、GDPR 基準に準拠する必要があります。

データ侵害が発生した場合は、情報コミッショナーズ オフィス (ISO) に報告してください。72 時間以内に報告する必要があります。必要なのは、データ侵害を迅速に検出して対応できるタッチ プロセスだけです。

人々がデータのプライバシー権についてより意識するようになるにつれて、多くのクエリが発生するため、更新してください。彼らは、あなたがどのようにデータを保持し、使用しているかを問い合わせる可能性が高いため、そうした要求を受け入れる必要があります。

利益相反なしで PII を確実に保護できる DPO を任命する必要があります。組織によっては、DPO をフルタイムで雇う必要はありません。また、必要に応じてコンサルタントとして働くことができる仮想 DPO を雇うこともできます。

GDPR 要件に合わせて改訂および更新されたデータ保護計画を作成する必要があります。

中小企業は、他の企業よりも GDPR の影響を大きく受ける可能性があります。 GDPR の要件を満たすための適切なリソースを持っていない可能性があります。外部のリソース、アドバイザー、技術専門家は、プロセスを通じて、社内の混乱を最小限に抑えることができます。

GDPR は完全な透明性を求めています。そのため、ユーザーはいつでもデータの消去を要求できます (つまり、忘れられる権利)。データを修正し、正式な構造に従ってデータを制御することもできます。また、データ侵害が発生した場合は、できるだけ早く通知する必要があります。

こちらもお読みください:7 つのトレンドさらなるサイバー攻撃を招く

テクノロジーは、企業が GDPR に準拠するのにどのように役立ちますか?

GDPR の到来により、企業はデータを侵害から保護するために、リスク管理とコンプライアンスにリソースを投入する必要があります。あなたの会社が EU に属していなくても、GDPR は EU 市民のすべてのデータをカバーします。あなたの会社が EU 市民のデータを扱う場合は、規則に準拠する必要があります。処理および処理されるデータの量が多すぎるため、この規制は歴史上最も高価な規制の 1 つとして報告されています。企業がGDPR法に基づくポリシーと手順を明確に定義し、遵守することは、コンプライアンスであることが不可欠です。したがって、組織はこの法律が施行される前に靴下を脱ぐ必要があります。そうしないと、世界の収益に基づいて 4% の罰金または 2,000 万ユーロ (いずれか大きい方) が課せられる可能性があります。

以下は、企業が GDPR の要求を満たすのに役立ついくつかの優れたテクノロジです。

データ管理とセキュリティ

企業のデータを保護するということは、データへの不正アクセスを制限することを意味します。データは、その場所が公開されていても侵害される傾向があるため、侵入者による侵害をブロックする最初の方法は、データが保存されている場所を保護することです。データを保護するには、特定のアルゴリズムでデータを暗号化し、データ侵害に対する壁を構築する必要があります。クラウド コンピューティングの採用以来、組織は、データが十分に保護され、物理的な損傷を受けないように保管されているという考えに落ち着くことができます。暗号化されたデータにより、データを読み取り、編集、管理するには復号化キーを提供する必要があるため、データ保護担当者がデータを監視する必要がなくなります。セキュリティ媒体に加えて、組織は情報監査を維持して、データがどこから来たのか、データベースに保存されていた期間、共有された方法など、データのトランザクションを監視する必要があります。これにより、データ管理が改善されます。

ブロックチェーン

これは、過去数年間で最も新しいテクノロジーの 1 つであり、それ自体が大きな力を発揮し、時間の経過とともにその価値が証明されました。ブロックチェーンは、暗号化によって暗号化された分散型台帳でのデータ ストレージを可能にします。分散型台帳にデータを保存するということは、さまざまな地理的な場所や、サイバー攻撃の際に「目撃者」となる人々の間でデータを分散化することを意味します。これらの台帳に保存されているデータは不変です。つまり、編集または削除することはできません。配布されたすべてのコピーを同時に攻撃する必要があるため、攻撃が成功する可能性がほぼゼロになります。

API 対応プラットフォーム

すべての組織は、API 管理アーキテクチャに焦点を当てて、コンテンツ取得の同意を収集し、データ アクセスの規制についてユーザーに通知するためのルールを採用する必要があります。これは、開発者がテクノロジーを組織に接続するために必要な時間を軽減するため、より高速で安価なプラットフォームです。

GDPR はテクノロジー業界にどのような影響を与えますか?

テクノロジー業界によると、GDPR は「史上最も破滅的なコンプライアンスの課題」です。 GDPR は、ユーザー データの収集と使用のシステムを変更する準備が整っています。さまざまなテクノロジー企業が、GDPR コンプライアンスに対応するための課題に直面することになります。最近ユーザー情報を操作しているすべての企業にとっての主な課題は、ユーザーのすべての「個人データ」を文書化することです。 「個人データ」に分類されるものを示す特定のガイドラインがあります。企業は、データをダウンロード可能な形式で引き渡すか、要求に応じて削除する必要があります。この全体の手順では、企業に雇われるより多くの従業員が必要になりますが、これは決して安くはありません。クラウド コンピューティング企業は、ユーザーがデータ全体の削除を要求する可能性があるため、最悪の打撃を受ける企業です。これは、他の企業に代わってデータをホストおよび保存するクラウド ストレージ プロバイダーにとって問題となります。

データ プライバシー コンプライアンスの準備ができていると報告している企業はごくわずかです。残りの企業は、1 つになるために大金を費やす必要があります。

GDPR とソーシャル メディア

写真共有プラットフォーム「Instagram」を所有する Facebook は、ユーザーが写真、ビデオ、メッセージを含む個人データをダウンロードするのに役立つツールを間もなく開始します。 EU GDPR への準備として、このツールは、ユーザーが Instagram と共有している情報を見つけるのに役立ちます。報告によると、Instagram のスポークスパーソンは次のように述べています。写真、ビデオ、メッセージなど、Instagram で共有したもののコピーをすぐにダウンロードできるようになります。」

GDPR は、データの削除を要求したり、将来のデータ収集をオプトアウトしたり、別のプラットフォームに転送するために使用しているデータのコピーを要求したりできる権利を顧客に与えることを目的としています。ツールとその機能の詳細については、まもなく発表される予定です。ただし、今のところは、Instagram で共有したものをダウンロードしてエクスポートできます。

また読む:サイバーセキュリティは改善されていますか、それとも悪化していますか?

今後の予定:

組織へのメッセージは、機密情報やデータがどこに保存されているか、誰がアクセスできるか、誰がアクセスできる必要があるかなど、データベースを認識することです。ただし、これは重要な問題になります。

中規模および大規模の組織はすべて、2018 年 5 月までに GDPR コンプライアンスの準備を整える必要があります。さらに、GDPR は、組織がセキュリティ機能をアップグレードする絶好の機会を提供します。さまざまなビジネス組織の考え方は異なるかもしれませんが、これまではデータを資産として扱い、規制なしでマイニングしていましたが、今後、これらの組織は蓄積されたデータとデータフローについてより細かくする必要があります.