個人または組織のデータは非公開にし、一般に公開しないようにする必要があるという意見は間違っていません。 実際のところ、あなただけではありません。 米国には、データのプライバシーを支持し、不正行為に関与する者を処罰することを約束する米国の法律があります。 データ侵害 犯罪行為とみなされるからです。 この記事では、データのプライバシーについて説明します。 さらに重要なことは、アメリカのデータ プライバシー法とカリフォルニア州の保護法について話し合うことです。
しかし、それに入る前に、まず、このコンテキストでデータが何を意味するかを理解しましょう。
データとは何ですか?
一般に、データは情報であり、情報は分類され、整理されたデータです。 【「という言葉の強調」分類された」]。 これは単に、データが情報と見なされるためには、一連の基準が満たされなければならないことを意味します。 分類および整理されていることに加えて、データは次の条件を満たしている必要があります。
- 正確な
- 必要なときに利用できる
- 完全
データが完全で整理されていれば、すぐに利用できるようになります。 一方、データが分類される場合、考えられる解釈は XNUMX つだけです。許可されていない人やグループから制限されているため、データのプライバシーに関する議論が行われます。
データのプライバシー
データのプライバシーとは、個人の機密情報や個人情報を不正なアクセス、使用、または開示から保護することを指します。 デジタル化の進展に伴い、データのプライバシー侵害のリスクはより重要になっています。 大小を問わず、組織は、個人情報、財務の詳細、閲覧履歴など、個人から膨大な量のデータを収集、保存、および処理しています。 このようなデータは貴重であり、悪用されると深刻な結果につながる可能性があります。
なぜデータプライバシー?
特定の情報を非公開にしなければならない理由はいくつかあります。 電話、Whatsapp、または Facebook Messenger を介した友人との個人的な会話が、あなたと XNUMX 人の間で行われるはずだった状況を想像してみてください。 企業の財務データが悪用される別の例を想像してみてください。 問題を少し拡大させてください。 CIA、FBI などのシークレット サービス組織には、「機密」と呼ばれるケース ファイルがあります。これは、高レベルのクリアランスを持つエージェントのみがアクセスを許可されていることを意味します。 これらのケース ファイルは、悪人の手に渡った場合、組織と創設者が完全に破壊されることを意識して、高度に保護されています。
ここで、「なぜデータのプライバシーを保護するのか」という質問に戻ります。 データのプライバシーは、ハッキングを試みてあらゆる種類の問題を引き起こす可能性のある悪者から個人情報を安全に保つため、非常に重要です。 データのプライバシーが私たちの日常生活に与える影響は重大です。 したがって、個人がデータのプライバシーの保護を優先するサービスを選択することをお勧めします. 一方、この問題に関する顧客の懸念が高まっていることを考えると、ビジネス オーナーとして、データ プライバシーをブランディングおよびビジネス戦略における重要な要素と見なすことが不可欠です。
データのプライバシーとデータのセキュリティのどちらがより重要ですか?
データを非公開に保つことと、安全に保つことの両方が重要です。 データ プライバシーは企業があなたの情報を正しい方法で使用することを保証し、データ セキュリティはあなたの個人情報を危険から守ります。 簡単に言えば、データのプライバシーとデータ セキュリティを連携させて、データの安全性を最大限に高める必要があります。
組織向けのデータ プライバシーとセキュリティのベスト プラクティス
世界中でますます重要な問題になりつつあります。 近年、データ侵害が重大な経済的損失をもたらした注目を集める事例がいくつかあります。 また、組織の評判に傷がつき、顧客との信頼関係を取り戻すことが難しくなっています。 このため、データ プライバシー手順に従い、消費者と組織の両方の利益を保護することが法律です。
組織が従うべきデータ プライバシーのベスト プラクティスは次のとおりです。
#1。 暗号化
この方法は、主にシークレットサービス組織によって採用されています。 暗号化は、データ アクセスを許可された関係者のみに制限するセキュリティ メソッドです。 これは、暗号化キーを使用して元のデータをランダム データに変換することによって実現されます。 データは、そのキーを持つユーザーのみが復号化してアクセスできます。 企業は、ブランチ オフィスとリモート ワーカー間のトラフィックを暗号化して、データ漏洩を防ぐ必要があります。
#2。 ファイアウォール
ネットワーク トラフィックの監視とフィルタリングに使用されるファイアウォールは、不正なアクセスをブロックすることでネットワークとデバイスを保護します。 企業は、 エンタープライズ グレードのファイアウォール ネットワークとサーバーを保護します。
#3。 データの耐久性
データ レジリエンスとは、自然災害やデータ侵害などの予期せぬ混乱に直面しても、ビジネスの継続性を維持する組織の能力です。 クラウド アーキテクチャでオンライン サービスをホストすることは、データの回復力を確保する効果的な方法です。
#4。 データの削除
「データ クリア」および「データ ワイピング」として知られるデータ削除は、ソフトウェア ベースの手順であり、デジタル的に記録された情報をランダムなバイナリ データで上書きします。 簡単に言えば、データが回復不能であることを保証します。 これは、GDPR 第 17 条 (一般データ保護規則) によると、「忘れられる権利」を満たすものです。
#5。 バックアップデータ
自然災害やサイバー攻撃が発生した場合にデータを保護するために、ある場所から別の場所にデータをコピーするプロセスは、「データ バックアップ」として知られています。 ただし、企業は、データを保持し、データ損失を防止する必要性と、顧客が忘れられる権利との間でバランスを取る必要があります。
#6。 データ損失防止 (DLP)。
データ損失防止は、組織の全体的なセキュリティ ポリシーの構成要素であり、機密データの損失、誤用、および違法アクセスから保護します。 組織は、ツール、手法、およびプラクティスを利用して、侵害の兆候を検出および特定し、データ損失を防ぎます。
データのプライバシーと保護に関する 7 つの原則とは?
これらの原則は次のとおりです。
- 公平性と開放性
- 合法性
- データの最小化;
- 目的の制限
- 正確さと説明責任。
- ストレージの制限
- 完全性と機密保持;
データプライバシー法
前述のように、データのプライバシーを保護するアメリカの法律と保護法があります。これについては、この章で説明します。 ご想像のとおり、技術の進歩により、あらゆる種類のデータ侵害が可能になりました。 このため、さまざまな企業や政府が個人データの保管と使用を規制し始めています。 以下は、覚えておくべき最も重要な法律の一部です。
#1。 カリフォルニア州消費者保護法 (CCPA)
カリフォルニア州の消費者データ プライバシー法は、2018 年に成立しました。この保護法により、カリフォルニア州民は、どのような個人データが企業によって収集、使用、共有、または販売されているかを知る権利が与えられます。 会社はカリフォルニアに本社を置く必要はありません。 この法律は、カリフォルニア州の顧客を扱う限り適用されます。 さようなら、カリフォルニアの人々!
#2。 クレジット カード業界のデータ セキュリティ基準。
米国のデータ プライバシーおよび保護法のリストの XNUMX 番目は PCI-DSS で、これは Payment Card Industry Data Security Standard の略です。 これは、ブランドのクレジット カードを扱うすべての企業が安全な環境を維持することを保証する一連の情報セキュリティ基準です。 クレジット カードをお持ちの場合は、すでに PCI-DSS によって保護されている可能性が高いので、心配する必要はありません。
#3。 コンピュータ詐欺および乱用法 (CFAA)
この法律は、コンピューターの詐欺と乱用を禁止しています。 1986 年に制定された Computer Fraud and Abuse Act (CFAA) は、許可なく、または許可を超えてコンピューターにアクセスしたり、コンピューター関連の活動を実行したりすることを違法としています。
#4。 グラム・リーチ・ブライリー法 (GLBA) 1999
1999 年の GLBA は、融資、金融または投資のアドバイス、保険、またはその他の金融商品やサービスを提供する組織に対し、顧客の情報がどのように共有され、保護されているかを説明することを義務付けています。
#5。 上院法案ネバダ 220
カリフォルニア州の住民と同様に、ネバダ州の上院法案 220 は、企業が個人情報を第三者に販売することを制限する権限を顧客に与えています。 企業は、この措置に基づいてデータが共有されることをオプトアウトするために、フリーダイヤル番号または電子メールのオプションを提供する必要があります。
#6。 2002 年サーベンス オクスリー法 (SOX)
2002 年の Sarbanes-Oxley Act は、企業による誤解を招く財務報告から投資家を保護することを目的とした米国の連邦法です。 正確性を確保するだけでなく、適切な保管を確保するために、財務報告と記録管理に特定の方法が必要です。
#7。 GDPR (一般データ保護規則)
これは、世界で最も厳格なデータ プライバシーおよび保護法と見なされることがよくあります。 個人情報の取得と処理の基準を定めています。 2016 年に EU で可決されましたが、基本的には、EU 市民を対象とする、または EU 市民からデータを収集する地球上のあらゆる場所のエンティティに適用されます。
米国データプライバシー保護法 [ADPPA]
データ管理者とデータ処理者の両方が ADPPA に準拠しています。 立法の目的は、消費者データの収集、使用、および転送を制限することにより、テクノロジー企業の悪用を制限することです。 それは最終的に消費者の「権利章典」となり、顧客データの収集、使用、販売の透明性を高めます。 法律は、基本的なデータ保護基準を確立し、データのプライバシーとセキュリティに対する管理制御を義務付けます。
ADPPA に準拠しているデータ コントローラーやデータ処理者などのエンティティについて言及しましたが、それらだけではありません。 アメリカ データ プライバシーおよび保護法は、AGR が 250 億 200,000 万ドルを超え、機密性の高い個人情報を含む XNUMX を超える個人またはデバイスを所有する大規模なデータ所有者にも適用されます。
ADPPA は個人データをどのように定義するか
米国データプライバシー保護法 (ADPPA) によると、「個人データ」とは、特定の個人に直接的または間接的に起因する可能性のあるあらゆる情報です。 ただし、特定の個人を特定できない情報、従業員から収集した情報、一般に公開されている情報は対象外です。
ADPPA の「プライベート データ」の広範な定義にもかかわらず、その関連性は、個人の最もプライベートな情報を保護することにあります。 政府発行の身分証明書 (社会保障番号、運転免許証番号、パスポート番号など)、健康状態、治療、診断、金融口座情報 (デビット カードやクレジット カード番号など)、収入、銀行残高、生体認証または遺伝子情報、正確な位置情報データ、アカウント ログイン資格情報、性的指向、および未成年者に関するデータはすべて、このカテゴリに分類されます。
事業体は、個人情報が収集されていることを個人に開示し、明確で目立つプライバシー通知でその使用を開示する必要があります。
個人情報を無断で提供することはできますか?
はい。 ほとんどの場合、企業は個人情報を共有するためにあなたの許可を必要とします。 ただし、法的目的や調査目的などの正当な理由がある場合は、許可なく配布することができます。
データのプライバシーに対する目的の制限は何ですか?
GDPR のルールの XNUMX つに「目的の制限」があります。 企業は顧客データを扱う理由を明確にする必要があると述べています。 また、ADPPA 規則は、個人情報が収集されていることを個人に開示し、データ処理の目的を明確にし、それらの目的にのみ使用することをエンティティに命じています。 つまり、データを他の目的に使用することはできません。
オンラインでデータのプライバシーを保護するにはどうすればよいですか?
次の手順を実行することで、データを保護できます。
- 強力なパスワードを作成します。
- ソーシャル メディアで過剰に共有しないでください。
- フリーWi-Fiの利用は慎重に。
- リンクや添付ファイルにご注意ください。
- サイトが安全であることを確認します。
- 追加の保護を確認する
データプライバシー戦略とは?
簡単に言えば、データ プライバシー戦略とは、安全でプライバシーを意識した保護のための計画を作成することによって、データを評価および管理する方法です。
最後の言葉
誰にでも隠したいことがあります。それは事実です。 それは必ずしも悪いことや違法なことではないかもしれませんが、あなたを安全に保ちます. 次回、このような機密情報を過度に共有したり、セキュリティ保護について不注意になったりした場合は、このことを覚えておいてください。
組織もこれを理解する必要があります。 この時代、サイバー攻撃が増加しています。 したがって、彼らは、最大限の裁量で自由に使える機密情報を確実に保護する必要があります。
関連記事
参考文献
