目次:
ビデオ: †ÙÆ' الÙÆ'ويت الوطنيإعلانال�طور رà (十一月 2024)
2018年5月25日から今日、欧州連合(EU)の一般データ保護規則(GDPR)の法律は、企業が個人データをどのように処理する必要があるかという問題になると、事実上世界的な法律になります。 ヨーロッパで承認されたデータ保護法はヨーロッパ人にのみ適用されると考えるかもしれませんが、あなたは間違っているでしょう。 それは、GDPRがどこに住んでいて、誰と取引をしていても、すべてのEU市民を保護するためです。つまり、EUの顧客を持つアメリカ企業は、GDPR要件と、さらに悪いことに罰則の対象となります。 さらに悪いことに、Crowd Research Partnersからの最近のレポートによると、今日の締め切りまでにGDPRに準拠する予定の企業は7%に過ぎません。
そして、企業を少なくともある程度GDPRに安全に保つために今日でも実行できる手順はありますが、完全なコンプライアンスを達成することは軽量プロジェクトではありません。 データを収集するプロセスは、企業がデータをどのように使用するかに関連する必要があります(たとえば、消費者のショッピングデータであり、eコマース企業の病歴データではありません)。 企業は、収集されたデータとその理由を正確に説明する必要があります。 セキュリティ慣行は、損失、損傷、および破壊から保護する明確な能力を実証する必要があり、データは必要以上に長く保持されるべきではありません。 規制への準拠に失敗した企業は、年間収益の4%の没収の対象となります。
情報管理システムプロバイダーAlfrescoの戦略ソリューションリーダーであるAnkur Laroiaは、次のように述べています。 Laroiaは、規制の細則内のいくつかの問題により、企業がコンプライアンスを維持することが困難になると主張しています。 たとえば、いくつかの問題には、データが収集される理由に関する抽象的に書かれたルール、要求時に顧客データをスクラブするための要件を超過すること、およびコンプライアンスを確保するためだけにセキュリティ手順を全面的に改訂する必要がある企業が含まれます。 それでも、ラロイアは、EUが混乱しているとは考えていません。
「EUは犯罪者を追いかけるだろう」と彼は予測する。 「これが制定されていたら、Equifaxは多くのトラブルに巻き込まれていただろう。」
GDPRは、主にEU市民に焦点を当てていますが、アメリカのビジネスオーナーにとって悪夢のようなシナリオでもあります。 、GDPRコンプライアンスへの旅を始めるためにアメリカ人が知っておくべきことを分析します。
1.アメリカ企業は遵守する必要がある
ママとポップの書店が故郷の街の外に荷物を一度も出荷したことがないのであれば、おそらくGDPRについて心配する必要はないでしょう。 ただし、EUベースの顧客が1人でもいる場合は、GDPRに準拠するプロセスをすぐに開始する必要があります。 細則の下では、EU市民データを保護する必要があり、市民が要求した場合、そのデータを市民に提供する必要があります。 さらに重要なことは、市民がリクエストを行った場合に、システムからそのデータをパージする必要がある場合があることです。 そうしないと、GDPRウォッチドッグがそれを見つけた場合、年間収益の4%を失うことになります。
IDCのセキュリティリサーチ担当副社長であるピートリンドストロームは、次のように述べています。 「住所フィールドがあり、それらがヨーロッパの住所である場合、おそらくヨーロッパと見なされます。」
EUに本社を置く会社と、イリノイ州スコーキーなどの都市に本社を置く会社の間に違いはありません。 代わりに、法律は個人を特定できる情報(PII)と、データに関連付けられている人物の居住地に焦点を当てています。 欧州の顧客に関するあらゆる種類のPIIデータを持っている人は、準拠する必要があります。
会社にEUベースの顧客が少数いる場合でも、地元の書店がGDPRウォッチドッグによって監査されることはほとんどありません。 しかし、FacebookやYahooなどの大企業は、GDPRを回避する方法としてアメリカの忠誠を主張することはできません。
「もしあなたがママとポップであり、あなたが侵害を持っているなら、あなたは法的責任を負う」とラロイアは言った。 「彼らが実際にあなたの後に来るかどうかは言いにくいです…各EU加盟国はコンプライアンスのオフィスを持っています。そのオフィスは皆のコンプライアンススキームを求め始めます。彼らは彼らの地域でビジネスをしている企業の目録を作成します。彼らはより大きな男たちをスポットチェックし、質問を始めます。」
準拠していないアメリカ企業は、GDPRに支援されたEU州がその没収された収益を回収しようとするときに、米国政府がそれらを保護することを期待すべきではありません。 「米国政府は、これらの判決が確実に執行されることを強いられています」とラロイアは言いました。 「施行されているかどうかはまだわかりませんが、EUの政府は戦わなければなりません。」
2. 5月25日は5月25日を意味します
この規則は2018年5月25日に本日施行されますが、2016年4月14日に法律がEU議会によって批准されました。これは、EUに関する限り、企業はGDPRに準拠した慣行を実施する十分な時間を持っていることを意味します。 そのため、明日大規模なサイバー攻撃に会社が襲われ、顧客、ウェブサイトの訪問者、さらにはパートナーについて収集したデータの塊が悪意のあるダークウェブに流出した場合、「不十分な時間」を主張することはできませんEU市民データを漏らす理由。
「法律が施行された」とラロイアは言った。 「コンプライアンスへの道のりを示すように求められることがあります。インベントリを作成しましたか?EU市民がデータについて質問するためのプロトコルは何ですか?これらの企業はすぐにこの情報を求めることができます。 5月以降はコンプライアンスを実証できません。」
3.拡張機能を期待しないでください
米国で行われているほとんどの法的規制の戦い(たとえば、Net Neutrality)とは異なり、EUの誰も2018年5月24日にGDPRに挑戦して規制を無期限に延期するために介入しませんでした。 ヨーロッパ人はこれを望んでいて、今ではそれを手に入れました。
「これは規制が設定された方法の美しさです」とラロイアは言いました。 「彼らは彼らの行動を正しくするために1年を企業に与えたので、訴訟の観点からそこにどんな挑戦もありませんでした。我々がそれを見るならば、それはすでに起こりました。彼らは試してみるとは思いますが、その時点では見栄えが悪くなります。」
4.遵守するために必要なこと
規制で要求されているように、コンプライアンスプロセスの管理を担当者に任せる必要があります。 GDPRの法律で「データ保護責任者」(DPO)と呼ばれるこの人物は、あなたの会社がデータを保護している方法をGDPR監視チームに任せる責任者になります。 この人は、GDPRに準拠した状態を維持するための方法論を作成するために、社内のさまざまな種類の事業をまとめる責任も負います。
一言で言えば、DPOの義務は4つの主要なカテゴリーに分類されます。
- まず、最初のコンプライアンスプロセスだけでなく、将来のすべてのGDPR関連のデータ処理に関する質問のポイントパーソンとして行動するために、GDPRの詳細に十分精通している必要があります。幹部とデータ処理IT担当者が地上にいます。
- 次に、組織で進行中のすべてのデータ処理プロセスを監視し、個人データの安全性に関する有効性を評価できる必要があります。
- 第三に、GDPRの影響を受ける可能性のあるビジネスのあらゆる領域について監査および監視機能を備え、定期的にコンプライアンスを評価する必要があります。
- そして最後に、彼らはあなたの業界のGDPR当局と連絡を取り、それらに協力し、その当局からの要求に対する要人として行動する必要があります。
そのすべては、データフロー、データ保護対策と技術、およびGDPR法律の詳細に関する知識だけでなく、そのE-Privacy指令などの関連および関連するEU法律に関する知識も理解している個人に帰着します。 これらのスキルが不足している可能性が高いため、ビジネスおよびITコンサルタントにグリーンフィールドの機会が生まれていますが、この才能を社内で開発したい場合は、英語を話すヨーロッパのオンライン学習リソースを検索することをお勧めします。その多くは、この目的のためにGDPR DPOコースウェアを開発しました。 さらに、GDPRトレーニングコースウェアと認定を提供している国際プライバシー専門家協会(IAPP)などの多国籍産業組織があります。
より技術的な注意事項として、コンプライアンスを維持するには、物理サーバー、ネットワーク接続ストレージ(NAS)、ディスクとドライブ、およびネットワークアクセスに少なくとも1つの暗号化方式を採用する必要があります。 PIIにアクセスするとき、およびPIIデータを含むトランザクションについては、従業員の身元を確認し、多要素認証(MFA)を導入する必要があります。 不正な目的でデータにアクセスまたはデータを処理する慣行を排除し、データを継続的に監視および検証して関連性を確保し、要求された場合は顧客データを完全かつ不可逆的にパージする必要があります。 組織は、完全なリスク評価を実施し、特にアプリケーションプログラミングインターフェイス(API)を介して接続されているパートナーと協力して、継続的なコンプライアンスを確保する必要があります。
最後に、組織のデータが侵害された場合、関連するGDPRスーパーバイザーに直ちに通知して、違反とその結果を完全に説明する必要があります。 また、侵害の影響を影響を受ける顧客に伝える必要があります。
5.米国のお客様
Laroia氏は、顧客情報を保護し、適切な管理人になることは、最終的にはビジネス上の良識だと言いました。 「最終顧客の有利な点からこれを見なければならない」とラロイアは言った。 「これらは、これらの企業がビジネスを展開する理由です。はい、ビジネスには苦痛を伴いますが、企業はテクノロジーに投資しておらず、イノベーションのペースに追いついていません。」
残念ながら、同様の米国の規制は本に載っていません。 ニューヨークの金融サービス局のサイバーセキュリティ要件に基づいてニューヨークでビジネスを行う企業は、ある程度カバーされています。 この規制は、ニューヨークに拠点を置く企業が、上級役員または対象事業体の取締役会(またはその適切な委員会)または同等の運営機関によって承認された、書面によるポリシーを実装および維持することを要求しています。 これは、書面法に従って、情報システムおよびそれらの情報システムに保存されている非公開情報を保護する対象エンティティのポリシーと手順を規定しています。
コロラドなどの他の州では、同様の規制の実施について議論しています。 しかし、全面的な米国連邦法は存在しません。 しかし、ラロイアは、米国が次に来ると楽観的です。 「アメリカ人にはそのような権利はない」と彼は言った。 「しかし、5年を与えてください。」
