2018年データ保護法
データ保護法とは何ですか?2018年データ保護法は、イギリスで適用されるデータプライバシー法です。
データプライバシー規制は、世界中の多くの立法機関によって制定されています。2018年データ保護法は、イギリスにおけるこれらの規制に相当します。これは、イギリスの住民から非公開個人情報(NPI)を収集するすべての企業または組織に適用されます。
データ保護法の成立背景
2018年以前、イギリスにおけるデータ保護を規定する法律は1998年のデータ保護法でした。その後の数年間で、デジタル分野における技術の進歩が、組織が個人データを収集・処理する方法に大きな影響を与えました。これにより、個人識別情報(PII)の重大な侵害やそれほど深刻でない侵害が発生し、企業や消費者にリスクをもたらしました。
イギリスやフランスなどのヨーロッパ諸国は、個別のデータ保護コンプライアンス規制を通じて、データプライバシー体制の更新について議論を始めました。その間、欧州連合は一般データ保護規則(GDPR)を制定しました。2018年に進むと、イギリスは有名なブレグジットプロセスを通じてEUを離脱することを決定しました。しかし、イギリスは、GDPRのプロトコルをイギリスの住民に引き続き適用するための法律が必要でした。
その結果、2018年にデータ保護法が制定されました。GDPRに加えて、データ保護法はカナダの個人情報保護および電子文書法(PIPEDA)やカリフォルニア州消費者プライバシー法(CCPA)と同様の範囲を持っています。
法律で定義される個人データ
データ保護法は、個人データを、完全または部分的に生存する個人を識別するために使用できる情報として定義しています。
特別カテゴリーのデータ
法律は、特別カテゴリーのデータを、より高いレベルのプライバシーと保護を必要とする敏感な個人データとして定義しています。これには以下のデータが含まれます:
- バイオメトリクス
- 人種
- 性的指向
- 宗教的信念
- 政治的信念
- 身体的および精神的健康状態
- 性的生活と性的指向
機密データ
機密データは、信頼のもとで二者間で共有されるデータです。個人的な性質を持つ場合もあれば、そうでない場合もあります。しかし、公開されていない限り、データ保護法によって保護されます。
データ保護法とGDPRの違い
データ保護法は、EU居住者に対してGDPRの下で同じ保護を拡張します。主に国固有の問題を明確にするために、GDPRのすべての原則を継承しています。主な違いの一つは、データ保護法が匿名化されたデータにアクセスし、それを識別しようとする企業や個人に対して無制限の罰金を提供していることです。
もう一つの違いは、データ保護法が個人データをユーザーの同意なしに処理できる特定の例外を提供していることです。これらは主に国家安全保障、移民、情報機関に関連する事項です。
もう一つの注目すべき違いは、個人データ処理に対する有効な同意の年齢です。EUのGDPRでは16歳ですが、データ保護法では13歳です。
データ保護法への準拠方法
イギリスの住民からデータを収集する企業にとって最も重要な質問は、データ保護法のすべての規定にどのように準拠するかです。
世界中の他のプライバシー法と同様に、コンプライアンスは簡単ではありません。特に組織のサイバーセキュリティリスク管理の実践が堅牢でない場合はなおさらです。以下はデータ保護法の主要な要件です:
プライバシーポリシーの掲示
規制コンプライアンスを確保するためには、企業のユーザーと公に共有されるプライバシーポリシーが必須です。データ収集および処理活動を説明する際には、平易な言葉で記述する必要があります。
PII処理の法的根拠を明示
データ保護法によれば、PIIデータを処理するための法的根拠はいくつかあります。これらはGDPRと同じです:
- 消費者の同意(企業が個人データを処理する最も一般的な理由)
- 契約の履行
- 法的義務
- 公共の利益
- 正当な利益
- 重要な利益
PIIを収集および処理するビジネスの理由は、法律に準拠するためにこれらの根拠のいずれかに該当する必要があります。
収集と処理の同意
法的根拠を確立した後、次のステップはユーザーからデータの収集と処理の同意を求めることです。イギリスでの同意が合法であるためには、以下の条件を満たす必要があります:
- 自由に与えられる
- 明示的
- 曖昧でない
- 情報に基づく
- 記録される
上記に対処するために、組織はユーザーに対して以前に議論した権利を開示し、それを遵守する必要があります。
データ保護責任者の任命
データ保護法は、公共機関である場合や、個人データの大規模な体系的収集と処理を必要とするビジネスである場合、データ保護責任者を任命することを要求しています。
データ保護責任者の名前と連絡先は、プライバシーポリシーに目立つように表示されている必要があります。
データ侵害プロトコルの確立
イギリスの住民に属するPIIが漏洩するデータ侵害が発生した場合、データ保護法は組織に対して72時間以内にイギリスの情報委員会事務所に通知することを要求しています。影響を受けた個人にも侵害について通知し、データを保護するための措置を講じる必要があります。
データ収集と保持の確立
データ保護法に準拠するためには、組織がデータの収集と保持を最も必要な理由に限定することが不可欠です。未使用の個人データを保持したり、最初に同意された範囲を超えて処理することは法律違反であり、罰金を科される可能性があります。
プライバシー・バイ・デザインの作成
プライバシー・バイ・デザインは、すべてのプライバシー法の重要な要素です。これはサイバーセキュリティポリシーであり、PIIを扱うすべてのプロセス、システム、インフラストラクチャ、および人々がプライバシーを最優先に考えるべきであることを意味します。
データ保護法の7つの原則
イギリスの住民のPIIを扱う組織にとって、データ保護法の7つの原則を理解することは、この法律に準拠するための鍵です。これらの原則は、すべての個人データを収集および処理する際の組織の指針となる価値観と基盤であるべきです。
これらの原則を通じて、読者はそれらが複数のデータ保護法や管轄区域を横断していることに気付くでしょう。これらの原則は、GDPR、PIPEDA、CCPA、医療保険の相互運用性と説明責任に関する法律(HIPAA)、債務回収改善法(DCIA)、および日本の個人情報保護法(APPI)に大きく適用されます。
合法性、公平性、透明性
この原則は、個人データの使用が合法であり、公平であることを要求し、ユーザーが何に同意しているのかを理解する必要があります。データ保護法は、組織がデータ処理ポリシーにおいて明確で平易な言葉を使用することを要求しています。
目的の制限
この原則は、PIIが意図された特定の目的のためにのみ使用され、ユーザーが適切に通知され理解したものであることを要求します。この原則は、ある目的のために収集された個人データが、元の目的以外の方法で不規則に処理される事例を減少させることを目的としています。
データ最小化
この原則は、組織が合法的な使用を超えてデータを収集する能力を制限します。組織は、意図された目的に関連し、限定されたデータを収集する必要があります。
正確性
これは、ほとんどのプライバシー法で知られている原則です。すべての個人データが正確である必要があり、組織はユーザーの要求に応じて不正確なデータを更新する責任があります。
保存の制限
正当な理由がない限り、組織は個人データを無期限に保存すべきではありません。
整合性と機密性
おそらく、個人データ侵害が発生した際に多くの組織が苦労する原則です。この原則は、物理的およびデジタルのコントロールを使用して個人データを保護するために適切な措置を講じることを要求しています。
説明責任
最後の原則は、組織がデータ保護法に準拠していることを示すために適切な記録を保持することを要求しています。
データ保護法に基づくユーザーの個別の権利
7つの原則に加えて、データ保護法は、組織が遵守しなければならない市民の個別の権利を概説しています。原則とそれに関連する権利は、データ保護法の大部分を形成しています。組織は、データ保護法に準拠するために以下を遵守する必要があります:
通知を受ける権利
ユーザーは、個人データが収集、処理、使用、共有される際に通知を受ける権利を持っています。組織は、このデータを保持および処理する意図された目的を伝え、情報に基づいた同意を求める責任があります。
アクセス権
ユーザーは、組織が保持するすべてのデータへのアクセスを要求する権利を持っています。
訂正権
これは、前のセクションで議論した正確性の原則に対応しています。データ保護法で定義されているように、ユーザーまたはデータ主体は、個人データの訂正を要求する権利を持っています。
消去権
これは、多くの大企業が法廷で争ってきた有名な「忘れられる権利」です。データ主体は、個人データの削除を要求する権利を持っています。これは、個人が組織がデータを保持および処理し続ける理由がないと感じた場合に適用されます。
処理の制限を求める権利
データ主体は、不正確なデータや法的異議申し立てが保留中のために、個人データの処理をブロックまたは抑制する権利を持っています。
データポータビリティの権利
ユーザーは、個人データが再提出することなく再利用できる形式でアクセス可能であることを保証する権利を持っています。
異議を申し立てる権利
特定の状況下で、個人は個人データの処理に異議を申し立てる権利を持っています。組織は、この権利についてデータ主体に通知する義務があります。
自動化された意思決定とプロファイリングに異議を申し立てる権利
個人は、個人データに関する自動化された意思決定および自動化されたプロセスによるプロファイリングからオプトアウトする権利を持っています。彼らは人間によるレビューを求める権利を持っています。
不遵守に対する罰則
データ保護法は、不遵守に対する罰則として、最も深刻な不遵守の場合、最大1,750万ポンドまたは前年度の世界的な収益の4%の罰金を定めています。イギリスの情報委員会事務所への侵害の通知の失敗やその他の違反の場合、最大罰金は870万ポンドまたは企業の世界的な収益の2%です。データ保護法で定義されているその他の罰則には、データ収集および処理の一時的または恒久的な禁止が含まれます。
機密コンテンツ通信のコンプライアンス
組織は、機密コンテンツ通信に対する包括的なプライバシーおよびコンプライアンスアプローチが必要です。データ保護法に基づく規制コンプライアンスは、組織がプライベートなPII通信を追跡、制御、保護し、転送中および保存中にどのように保護されているか、誰がアクセスしたか、誰と共有されたか、どのデバイスが使用されたかに基づいて監査証跡を示すことができることを要求しています。
組織は、メール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)を含む複数の通信チャネルを使用することが多いため、統一されたアプローチが必要です。しかし、ほとんどの組織は機密コンテンツ通信を管理するために4つ以上のツールを利用しており、これが複雑さとリスクを増大させています。
Kiteworksプラットフォームは、ガバナンス、コンプライアンス、機密コンテンツ通信の保護に使用されるプライベートコンテンツネットワークを作成することを可能にします。Kiteworksプラットフォームのカスタムデモをスケジュールして、PIIを統合、追跡、制御、保護し、データ保護法やその他の規制に準拠する方法を学びましょう。
ホワイトペーパー:
ブログ投稿:
ブログ投稿
ブログ投稿
