データプライバシー

プライバシーは、最も広い意味で、個人、グループ、または組織が、自分の体、財産、アイデア、データ、情報など、自分が所有するものにアクセス、観察、または使用することができる人を制御する権利です。

制御は、物理的、社会的、または情報的な境界を介して確立され、不要なアクセス、観察、または使用を防ぐのに役立ちます。 例えば:

  • ロックされた正面玄関などの物理的な境界は、ドアのロックを解除するための鍵や内部の人がドアを開けるという形で、明示的な許可なしに他の人が建物に入るのを防ぐのに役立ちます。
  • 会員専用クラブなどの社会的境界では、会員のみがクラブリソースにアクセスして使用することができます。
  • 秘密保持契約などの情報境界は、どのような情報を他の人に開示できるかを制限します。

新しい技術と破壊的なビジネスモデルによって駆動される世界的な情報経済の急激な成長は、個人データの収集、使用、交換、分析、保持、および商業目的 また、偶発的または意図的なデータ侵害、誤ったまたは失われたデータレコード、およびデータ誤用のインシデントが増え続けていることを意味します。

その結果、データセキュリティに対する需要と同様に、個人情報の収集方法、共有先、使用、保持、削除方法を制御する権利であるデータプライバシーに対する

個人のデータプライバシーに対する権利と、個人データを独自の目的のために使用したい組織の欲求のバランスをとることは困難ですが、不可能ではあ これには、データプライバシーフレームワークの開発が必要です。

データプライバシーフレームワークの開発

フレームワークには”万能テンプレート”はありませんが、ビジネスに関連するテンプレートを開発するのに役立ついくつかの普遍的なプロセスがあります。

個人データの発見と分類-収集されるデータの種類を決定する(例: データの収集場所と方法、データの保存場所、データへのアクセス権と物理的な場所、ビジネスユニット内およびビジネスユニット間のデータフロー、国内および国間のデータ転送。

プライバシー影響評価(PIA)の実施—データの保存、バックアップ、破棄の方法と場所、現在どのようなデータセキュリティ対策が実施されているか、システムがデー データセキュリティ対策の例には、次のものがあります:

  • 変更管理-データ構造の変更を監視、ログ、およびレポートします。 データベースへの変更が、承認された変更チケットにトレースできることをコンプライアンス監査人に示します。
  • データ損失防止—ネットワーク上の動作中、データストレージ内の保存中、またはエンドポイントデバイス上で使用中のデータを監視および保護します。 データの盗難を防ぐために、攻撃、権限の乱用、不正アクセス、悪意のあるweb要求、および異常な活動をブロックします。
  • データマスキング—暗号化/ハッシュ、一般化、摂動などを介してデータを匿名化します。 機密データを、運用上および統計上の正確性を維持する現実的な架空のデータに置き換えることによって、データを仮名化します。
  • データ保護—変更制御の調整、国境を越えたデータ制御、クエリホワイトリストなどを通じて、データの整合性と機密性を保証します。
  • 倫理的な壁—M&a要件、政府のクリアランスなどに準拠するために、ビジネスグループ間の厳格な分離を維持します。
  • Privileged user monitoring—privileged userデータベースへのアクセスとアクティビティを監視します。 必要に応じて、アクセスまたはアクティビティをブロックします。
  • セキュリティで保護された監査証跡のアーカイブ—監査証跡を改ざん、変更、または削除から保護し、フォレンジックの可視性を提供します。
  • 機密データアクセス監査—法律、コンプライアンス規制、および契約上の合意によって保護されているデータへのアクセスと変更を監視します。 不正アクセスまたは変更のための制動機警報。 フォレンジックの監査証跡を作成します。
  • User rights management—過度の権限、不適切な権限、および未使用の権限を識別します。
  • User tracking—webアプリケーションのエンドユーザーを共有アプリケーション/データベースユーザーにマップし、最後にアクセスしたデータにマップします。
  • VIP data privacy—SAPやPeopleSoftなどの多層エンタープライズアプリケーションに格納されているデータを含む、機密性の高いデータに対する厳格なアクセス制御を維持します。

マーケティングの問題を理解する—国境を越えたマーケティングの問題を決定する(例: 製品またはサービスが他の国の居住者に直接販売されているかどうか、ウェブサイトで使用される言語、またはモバイルアプリケーションの展開)、およびサードパーティーマーケティングの問題(マーケティング目的のための情報の共有など)。

コンプライアンス要件の分析—個人データの理解とPIAの実施において収集された結果に基づいて、適用されるコンプライアンス要件を決定します。

  • 立法規制—個人データの収集、使用、保管、輸送、および保護を規制する州、国、または政府機関の法律。 例としては、一般データ保護規則(GDPR—欧州連合)、個人情報保護および電子文書法(PIPEDA—カナダ)、2000年情報技術法(ITA—インド)、1993年プライバシー法(ニュージーランド)があります。
  • 業界固有の規制-特定の業界、ビジネスの種類、または政府機関が個人データをどのように扱い、保護するかを定義する法律または義務。 例としては、健康情報ポータビリティと説明責任法(HIPAA)、経済的および臨床的健康のための健康情報技術(HITECH)、決済カード業界データセキュリティ基準(PCI DSS)が含まれ
  • サードパーティの義務-請負業者、ベンダー、またはその他の外部機関が”親”組織によって収集された個人データをどのように扱い、保護するかを定義するビジネ たとえば、米国に拠点を置くベンダーにクレジットカードサービスを提供するインドの代理店は、PCI DSSデータ保護要件を遵守する必要があります。

プライバシーポリシーと内部統制の開発—外部プライバシーに関する声明(ウェブサイト、モバイルアプリ、オフラインプライバシーポリシーなど)の作成、データガバナンス、データプライバシーおよびセキュリティ侵害に関連する内部および外部のプライバシーポリシーおよび手順、およびデータプライバシートレーニング。

Impervaデータセキュリティとデータマスキングソリューションが、データプライバシーフレームワークの開発にどのように役立

コメントを残す

メールアドレスが公開されることはありません。

Previous post 経済学/配分の原則
Next post トム-ハンクスの元妻サマンサ-ルイスは女優であり、彼女の死の前に骨癌に苦しんでいた50