GDPRコンプライアンス: 暗号化とアクセスによるデータプライバシー設計
組織がPIIを保存または共有する際に暗号化しない場合、消費者のプライバシーを危険にさらし、データ侵害やGDPRコンプライアンス違反のリスクを抱えることになります。Kiteworksは、EU消費者のPIIを保存中のコンテンツにはAES-256ビット暗号化、転送中のコンテンツにはTLS 1.2で保護します。高度な暗号化機能には、FIPS 140-2 レベル1の認証モジュールや、PIIを転送中にエンドツーエンドで保護する自動化されたポリシーベースの暗号化を備えたメール保護ゲートウェイ(EPG)が含まれます。唯一の暗号化キーの所有権により、キーの回転を決定するのはあなたであり、Kiteworksでさえもあなたのコンテンツにアクセスできません。詳細なアクセス制御により、役割ベースの権限を設定し、PIIへのアクセスを制限します。プロジェクトメンバーやファイル受取人に対して、多要素認証で身元確認を要求します。送信トラフィックにはDLPを、受信トラフィックにはアンチマルウェアとアンチフィッシングを適用します。SafeVIEWとSafeEDITのDRMイノベーションにより、機密資産が保護された集中サーバーを離れることなく、動的なファイルの表示と編集が可能です。
GDPRコンプライアンス: 包括的な報告によるすべてのPII交換の完全な可視性
PIIを含むすべてのファイルに対する可視性と制御を持つ企業は、強力なコンテンツガバナンスを持ち、NISTサイバーセキュリティフレームワーク(CSF)などのデータプライバシー基準を遵守し、データ侵害のリスクをより効果的に軽減します。Kiteworksは、組織に入ってくる、通過する、そして出ていくすべてのPIIを含むファイルの統一された可視性を提供します。OneDriveやBoxのような接続されたオンプレミスおよびクラウドECMシステムに保存されているすべてのコンテンツを監視し、追跡します。すべてのファイル活動—誰が何を誰と、いつ、どのように共有するか—は、ファイルレベルの分析を可能にする包括的なレポートによってサポートされています。詳細な監査ログはすべてのファイル活動を記録し、SIEMソリューションと統合され、フォレンジック分析、電子証拠開示、およびGDPRコンプライアンスの証拠を可能にします。最後に、ワンクリックで監査準備が整ったコンプライアンスレポートは、システム構成とセキュリティ設定の詳細な可視性を提供し、GDPR監査を効率化します。
GDPRコンプライアンス: すべてのメールとファイル転送でプライバシーを保護
PIIを安全に共有することで、企業はEU居住者のプライバシーとデータ保護の権利を尊重し、GDPRに準拠して維持します。Kiteworksは、管理者ポリシーを詳細かつスケーラブルに設定し、マネージャー、コラボレーター、ダウンローダー、閲覧のみなどの役割ベースの権限に基づいて厳格なアクセス制御をサポートします。Kiteworksはまた、ファイルロックをサポートし、ファイルへのアクセスを一度に一人のユーザーに制限します。ファイルは保存中にAES-256暗号化、転送中にはTLS 1.2で保護されます。さらに、多要素認証により、PIIを含むメールやファイルへの不正アクセスを防ぎます。すべてのユーザーにMFAを要求するか、特定のユーザーや未知のネットワークからシステムにアクセスするユーザーにのみ要求するかを選択できます。すべてのMFAインタラクションは、すべてのファイル活動と同様に、syslogサーバーにログとしてエクスポートされ、Splunk、LogRhythm、ArcSightなどのSIEM製品によって読み取られます。
GDPRコンプライアンス: 忘れられる権利に準拠
GDPRの忘れられる権利要件に準拠することで、企業は個人のプライバシーとデータ保護の権利を尊重し、公共の監視、批判、潜在的な訴訟を回避します。Kiteworksは、組織がGDPRの忘れられる権利に準拠するのを支援します。組織はデータ保持ポリシーを定義し、個人データがどのくらいの期間保存され、いつ永久に削除されるかを指定できます。Kiteworksは、すべてのPIIが保存される集中プラットフォームを提供し、組織が個人に関して保持しているすべてのデータを特定するのに役立ちます。個人が忘れられる権利を要求した場合、Kiteworksは組織が関連するすべてのデータをワンクリックで提供または削除できるようにします。すべてのデータ削除活動はログに記録され、監査可能です。
よくある質問
GDPRコンプライアンスとは、EU一般データ保護規則(GDPR)に定められた規制を遵守することを指します。GDPRは、EUの包括的なデータプライバシー法であり、EU市民および居住者の個人データがどのように収集、処理、保存、共有されるべきかについてのガイドラインを提供します。これには、EU内外の組織が含まれます。GDPRに準拠するためには、組織はEU市民および居住者の個人データを保護し、彼らのプライバシー権を尊重するための措置を講じる必要があります。
GDPRは、個人データがどのように処理されるべきかについての一連の原則に基づいています。これらの原則は、組織がEU市民および居住者の個人データを公正、透明、かつ安全に取り扱うことを保証することを目的としています。
GDPRコンプライアンスの3つの主要な原則は次のとおりです:
- 合法性、公正性、透明性: 組織は、個人データを合法的、公正、かつ透明な方法で処理しなければなりません。これには、個人に対してデータがどのように処理されるかについて明確で簡潔な情報を提供することが含まれます。
- 目的の限定: 個人データは、特定の明示的かつ正当な目的のために収集および処理されなければなりません。組織は、これらの目的と互換性のない方法で個人データを処理してはなりません。
- データ最小化: 組織は、処理の目的に必要な個人データのみを収集および処理しなければなりません。また、データが正確で最新であることを保証しなければなりません。
組織は、EU市民および居住者の個人データを保護し、彼らのプライバシー権を尊重するために、いくつかのステップを踏むことでGDPRコンプライアンスを確保できます。これらのステップには、データ保護のためのポリシーと手順の実施、データプライバシー責任者(DPO)の任命、定期的なデータ保護影響評価の実施が含まれる場合があります。
GDPRコンプライアンスを確保するために組織が取ることができるステップには次のものがあります:
- GDPRの要件に合わせてデータ保護ポリシーと手順を見直し、更新する
- 暗号化、アクセス制御、仮名化など、個人データのセキュリティを確保するための適切な技術的および組織的な対策を実施する
- 個人が自分の個人データにアクセスし、GDPRに基づく権利(消去権や異議申し立て権など)を行使できるようにする
- GDPRの要件に準拠していることを確認し、改善の余地を特定するためにデータ処理活動の定期的な監査を実施する
- クラウドサービスプロバイダーなどの第三者プロセッサーがGDPRに準拠しており、個人データを保護するための適切な保護策を講じていることを確認する
- データ侵害や個人データへの不正アクセスを管理するためのインシデント対応計画を策定する
- GDPRの要件に準拠していることを示すために、データ処理活動の文書と記録を維持する
データ保護影響評価(DPIA)は、特定のデータ処理活動に関連するプライバシーリスクを特定し評価するプロセスです。DPIAは、EU市民および居住者のプライバシー権に高いリスクをもたらす可能性のある特定の処理活動に対して、GDPRの下で要求されます。
はい、米国企業はEU市民および居住者の個人データを処理する場合、GDPRに準拠する必要があります。実際、どこに設立されているかに関係なく、EU市民および居住者の個人データを処理、保持、または共有するすべての企業は、GDPRに準拠しなければなりません。