25th 2018年XNUMX月、EUの 一般データ保護規制(GDPR) GDPRが施行されました。GDPRは、サイバーセキュリティとデータプライバシーの世界を間違いなく根本から変える、注目度が高く、広範囲にわたる法律です。2016年XNUMX月に欧州連合(EU)で可決されたGDPRは、データセキュリティに関する新たな規制を策定しました。
GDPRは、EU市民のデータプライバシーに関する規則と規制を、このテーマがますます重要になる世界において更新することを目的としています。適用範囲は拡大され、罰則はより厳しく規定され、データ同意の条件も明確化されました。世界中の組織が、これらの規制への準拠を確実にするために奔走しています。貴社はデューデリジェンスを実施しましたか?
スコープを理解する
まず第一に、企業経営者は規制の適用範囲を理解する必要があります。GDPRはEU市民に適用されますが、EU域内だけに限定されるものではありません。企業の所在地に関わらず、EU域内に居住するデータ主体の個人データを処理するすべての企業に適用されます。基本的に、組織がEU市民の個人データを扱っている場合、GDPRの適用範囲に含まれます。そのため、必要な措置を講じ始めることが重要です。なぜなら、その影響は甚大なコストにつながる可能性があるからです。
巨額の罰金
GDPRの規則に違反すると、非常に高額な罰金が科せられます。制裁は、初回の故意のない違反に対する警告から、最高20万ユーロまたは組織の年間売上高の4%のいずれか高い方の罰金まで、多岐にわたります。このような莫大な経済的打撃を受けるリスクを負いたがる組織はまずいません。そして多くの場合、組織は完全に機能不全に陥るでしょう。リスクを負う必要はありません。もしあなたの会社がGDPRの対象となるなら、覚悟を決めてコンプライアンス遵守に取り組んでください。面倒なプロセスに思えるかもしれませんが、あなたとあなたの会社は安心できるでしょう。
情報監査を実行する
GDPRは、組織が保有するすべての個人データの記録を保持することを義務付けています。したがって、組織は情報監査を実施し、保有するデータの種類を自ら認識する必要があります。これにより、組織は保有するデータの内容を把握できるだけでなく、データの出所や使用方法といった重要な疑問に答えることができます。これらの情報は適切なデータポリシーに文書化され、組織がGDPRのデータ保護原則に準拠していることが保証されます。
訪問者とのコミュニケーション
GDPRは、訪問者が自身のデータに対するコントロールを強化するため、組織はより一層の注意を払う必要があります。組織には、収集するデータの種類、収集理由、そして保存期間について、ユーザーに対してより明確な説明責任が課せられます。組織は、全員が同意できるよう、データ収集ポリシーを根本的に変更する必要があります。個人にも、データポータビリティの権利や個人データの削除を求める権利があります。あなたの組織はこの抜本的な変化に備えていますか?
続きを読む: GDPRへの準備はできていますか?知っておくべきセキュリティのヒントをご紹介します
あなたの組織には DPIA が必要ですか?
GDPRでは、特定の状況下では組織にデータ保護影響評価(DPIA)の実施が義務付けられています。組織はこれらの状況を検討し、規制の対象となるかどうかを判断する必要があります。対象となる場合は、データ保護影響評価を実施する必要があります。DPIAが必要となる状況とは、データ処理が個人に高いリスクをもたらす可能性がある場合など、以下のような状況です。
- 新しい技術が採用されている場合
- プロファイリング活動が個人に重大な影響を与える可能性がある場合
- 特別なカテゴリーのデータが大規模に処理される場合
データ保護責任者を任命する
特定のカテゴリーに該当する組織は、GDPRの規定に基づき、正式なデータ保護責任者(DPO)を任命する必要があります。いずれにせよ、GDPRは新たな革命をもたらし、企業は適応を迫られます。データセキュリティに関するあらゆるプロセス、ルール、規制を適切に理解し、データ保護のコンプライアンスを担う責任者を任命することが重要です。
組織は、GDPR準拠のために、Seqriteのようなセキュリティソリューションプロバイダーの導入を検討できます。SeqriteはGDPRリスク評価を提供し、ランサムウェア対策や暗号化などの機能も備えているため、組織のガイドライン遵守を支援します。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
