欧州連合におけるGDPR 南アフリカのPOPI法に始まり、データプライバシー規制はゆっくりと世界中に広がりつつあります。
南アフリカでは2013年に個人情報保護法(POPI法)が可決され、まもなく全国で施行されます。EUのGDPRと同様に、この法律は個人情報に関する広範な規制となります。 データプライバシー個人情報保護法とデータ同意法は、全国の企業の事業運営に大きな影響を与えるでしょう。最近の報告書によると、この法律を遵守している組織はわずか34%にとどまっており、憂慮すべき状況となっています。
国内に拠点を置く組織の場合、必ず知っておく必要がある情報は次のとおりです。
POPI法とは何ですか?
個人情報保護法の略称であるこの法律は、2013年に可決されましたが、まだ施行されていません。公式発表によると、 南アフリカ政府のウェブサイト、それは次のことを目的としている:
- 公的機関および民間機関によって処理される個人情報の保護を促進するため。
- 個人情報の取り扱いに関する最低限の要件を確立するために一定の条件を導入すること。
- この法律および2000年情報公開促進法に基づき一定の権限を行使し一定の義務および機能を遂行する情報規制当局の設立を規定する。
- 行動規範の発行を規定すること。
- 迷惑な電子通信および自動化された意思決定に関する個人の権利を規定すること。
- 共和国の国境を越えた個人情報の流れを規制すること。
- これに関連する事項を規定すること。
いつから発効しますか?
この法律は2013年に可決されましたが、政府の規制により未だ施行されていません。現在は規制当局の設立を待っているところですが、多くのアナリストは施行までそう長くはかからないと考えています。
誰に影響があるのでしょうか?
この法律は、南アフリカの企業が個人情報を収集、保管、処理、共有する方法を規制することを目的としています。この定義に従えば、南アフリカのすべての企業が影響を受けることになります。
個人情報はどのように定義されますか?
この法律では、「個人情報」を、識別可能な生存する自然人に関する情報と定義しており、これには以下が含まれます。
- 人種、性別、ジェンダー、妊娠、婚姻状況などの個人識別情報。
- 学歴、病歴、職歴等に関する情報。
- 識別番号、記号、電子メール アドレス、住所など。
- 生体認証情報
- 個人的な見解、意見
- 本人からの連絡等
どのようにして企業を識別するのでしょうか?
まず、企業はデータ主体について収集する情報を「個人情報」として分類する必要があります。企業が個人情報をどのように取り扱うべきかについては、例外を除き、遵守すべき規制があります。また、「記録」と「機密情報」も区別する必要があり、データ漏洩が発生した場合には関係者に通知する必要があります。
遵守しない場合の罰則は何ですか?
遵守しない場合、重大な罰則が科せられる可能性があります。最長10年の懲役、または最高10万ランド(ランド)の罰金が科せられる可能性があり、場合によってはその両方が科せられることもあります。
これらすべてを念頭に置いて、南アフリカの企業は避けられない事態に備え、POPI への完全な準拠を保証するプロセスを開始することが不可欠です。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
