インドの デジタル個人データ保護法(DPDP) この法律は、組織が個人データを収集、利用、保管、保護する方法を根本的に変えるものです。これは、インドにおいて個人のデジタル個人データを扱うあらゆる組織に適用されます。組織の所在地は問いません。
企業にとって、DPDPは単なる法的義務ではありません。リスク軽減、説明責任、そして顧客の信頼に関わるものです。組織が効果的にDPDPに準拠するには、ポリシー文書の枠にとらわれず、強制力のあるデータ保護対策を講じる必要があります。
DPDP法とは何ですか?
DPDP法は、デジタル形式の個人データの処理を規制するものです。その目的は、個人データが以下のとおり保護されることを確保することです。
- 合法的に収集された
- 定義された目的にのみ使用される
- 十分に保護されている
- 制御された方法で共有
- 監査可能で説明責任がある
DPDP では、組織はエンドポイントとシステム全体で個人データがどのように収集され、保護されるかについて責任を負います。
考慮されるもの 個人データ?
DPDP における個人データには、次のような個人を特定できるあらゆる情報が含まれます。
- アダール、PAN、有権者ID、パスポート
- 電話番号とメールID
- 財務、給与、従業員記録
- 顧客および取引関連データ
ほとんどの組織では、こうしたデータは主にエンドポイント(従業員のノートパソコン、メール、USBドライブ、共有フォルダ、クラウドアプリケーションなど)に保存され、移動します。そのため、エンドポイントレベルの制御が重要になります。
DPDPの下で組織が注意すべきこと
- 合法的な処理と目的の制限
組織は、個人データの収集目的を明確に定義し、その目的を超えて個人データが使用されないようにする必要があります。部門間で個人データへの無制限のアクセスや再利用は、不正使用、過剰収集、不正な共有のリスクを高め、規制違反やデータ漏洩に直結する可能性があります。
- 個人データの不正な共有を防止する
個人データは、メール、リムーバブルメディア、個人用クラウドストレージ、または許可されていないアプリケーションを通じて自由に共有してはなりません。従業員による偶発的な共有や内部関係者による不正使用は、依然としてデータ漏洩の最も一般的な原因の一つであり、事後対応的な対策ではなく、予防的な対策が不可欠です。
- 合理的なセキュリティ対策を実施する
DPDPは、組織に対し、個人データを保護するために「合理的なセキュリティ対策」を実施することを義務付けています。これは、機密情報の漏洩、誤用、または紛失を防止するために、書面によるポリシーだけでなく、技術的な強制力も活用することを意味します。侵害が発生した場合、組織は保護対策が積極的に実施されていたことを証明できなければなりません。
- 侵害の検出、調査、対応
組織は、個人データインシデントを迅速に検知し、侵害の発生原因を調査する能力を備えていなければなりません。リアルタイムの可視性と詳細なログがなければ、インシデント対応は遅延し、効果が低下し、規制、財務、そして評判への影響が増大します。
- データプリンシパル権限を有効にする
DPDPは、個人に個人データへのアクセス、修正、消去の権利を付与します。一元的な検出と追跡がなければ、複数のエンドポイントにまたがるこれらの要求への対応は運用上複雑になり、エラーが発生しやすくなり、コンプライアンスリスクが増大します。
Why エンドポイント保護(EPP) 一人だけでは十分ではない
エンドポイント保護プラットフォーム(EPP)は、マルウェア、ランサムウェア、エクスプロイト、不正アクセスからシステムを保護するように設計されています。EPPは必須機能ではありますが、データ利用制御ではなく、脅威の防止に重点を置いています。
EPP は次のようなシナリオを防ぐことはできません。
- 従業員がPANまたはAadhaarの詳細を外部の受信者にメールで送信する
- 給与データをUSBドライブにコピーする
- 顧客データを個人用クラウドストレージにアップロードする
- 権限のないユーザーと機密ファイルを共有する
DPDPでは、エンドポイントだけでなくデータ自体を保護することが組織に求められます。このギャップにより、データ損失防止(DLP)が重要な要件となります。
DLPがDPDPコンプライアンスに不可欠な理由
データ損失防止(DLP)は、個人データへのアクセス、共有、または転送時に、個人データを識別、監視、および制御することに重点を置いています。DLPがなければ、組織は目的の制限を強制したり、偶発的な漏洩を防止したり、監査時にコンプライアンスを実証したりすることができません。
実際には、DLP なしで DPDP に準拠すると、組織は内部者リスク、人的エラー、監査の失敗にさらされることになります。
DLP機能を備えたSeqrite EPPがどのように達成に役立つか DPDPコンプライアンス
Seqrite は、エンドポイント保護プラットフォーム (EPP) とデータ損失防止 (DLP) を組み合わせて、エンドポイント レベルでセキュリティとコンプライアンスの両方の制御を実現します。
- 個人データの発見と分類
Seqrite DLPは、事前定義された分類子、正規表現、辞書を用いて、Aadhaar、PAN、有権者ID、パスポート、電話番号、メールIDなどのインドの個人データを検出します。保存データスキャンは、エンドポイント全体における個人データの所在を特定するのに役立ちます。これにより、組織はDPDPコンプライアンスの基本要件である個人データの所在を可視化できます。
- 目的に基づいたデータ使用の強化
Seqriteは、人事、財務、法務などの業務機能に合わせたDLPポリシーの定義を可能にします。エンドポイント、アプリケーション、ファイルタイプ、データチャネルに基づいて制御を適用することで、個人データが本来の目的のみに使用されるようにします。これにより、過剰な収集が削減され、機密データの不正な再利用を防止できます。
- エンドポイントでのデータ漏洩防止
Seqrite DLPは、エンドポイント、メール、リムーバブルメディア、ネットワーク共有全体にわたって制御を強化します。不正なデータ転送はリアルタイムでブロックまたは監視できるため、偶発的または意図的なデータ漏洩のリスクを大幅に低減します。これにより、個人データが管理されていないチャネルを通じて組織外に流出するのを防ぎます。
- 違反検出と監査準備の強化
Seqriteは、リアルタイムアラート、詳細なインシデントログ、そして調査と監査のためのエクスポート可能なレポートを提供します。組織は、個人データにアクセス、コピー、または共有しようとした人物を追跡できるため、迅速な対応と規制への対応が可能になります。これは、DPDP違反通知および説明責任の要件に対応します。
- サポート データ主体の権利
Seqriteは、保存データスキャンとIDベースの検索を活用し、組織が個人に紐づく個人データを特定できるよう支援します。削除または制限されたデータは監視することで再出現を防ぎ、アクセス、消去、苦情処理の義務をサポートします。
結論
DPDP コンプライアンスはポリシーだけでは達成できず、個人データに対する継続的な可視性、制御、説明責任が必要です。
エンドポイント保護プラットフォーム(EPP)はサイバー脅威からシステムを保護しますが、個人データへのアクセス、使用、共有方法までは制御できません。データ損失防止(DLP)は、エンドポイントと通信チャネル全体で個人データが合法かつ安全に取り扱われることを保証することで、この重大なギャップを埋めます。
一緒に、 セクライト DLP を備えた EPP は、DPDP コンプライアンスのための強力で実用的な基盤を提供し、組織が規制リスクを軽減し、データ漏洩を防ぎ、顧客や規制当局との永続的な信頼を構築するのに役立ちます。
