Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

データプライバシー、保護、セキュリティのベストプラクティス

ホーム 用語集 データプライバシー、保護、およびセキュリティのベストプラクティス

データプライバシーは単なるビジネスの問題ではなく、あなたが取り扱ったり保存したりするプライベート情報を信頼しているすべてのユーザー、従業員、または顧客に影響を与えます。

データプライバシー、保護、およびセキュリティのベストプラクティス

データプライバシーとは何ですか?データプライバシーはデータ保護の一部であり、個人識別情報や保護対象保健情報のような機密データを適切に保護し取り扱うことを要求します。データプライバシーは、あなたの組織が機密情報を取り扱うことができる信頼性を示すために重要です。

データプライバシーはどのように機能しますか?

データプライバシーは、情報がその重要性に基づいて不正な開示から保護される方法を指します。異なる形式の情報はしばしば異なるレベルのセキュリティと保護を必要とし、情報をプライベートかつ機密に保つために必要な技術的、物理的、管理的保護のレベルを決定するために異なるコンテキストを使用します。

データプライバシーの主な要素は次の通りです:

  1. 個人は自分の情報を管理し、他人から干渉されない権利を持っています。
  2. 組織は、個人情報を適切に処理、取り扱い、収集、共有するための手続きを開発する責任があります。
  3. 組織は関連する保護法を遵守する必要もあります。

最も一般的な保護情報の形式の一つは、個人識別情報と呼ばれます。PIIは、直接的または間接的に個人を特定することができる情報です。この情報には次の項目が含まれます:

  • 名前と姓
  • 住所
  • 社会保障番号
  • 電話番号
  • メールアドレス
  • 運転免許証番号
  • 銀行口座番号
  • クレジットカードまたはデビットカード番号
  • パスポート情報

プライバシーは、ネットワーク化された常時接続のシステムのデジタル時代において、ITおよびビジネスインフラの重要な焦点であり、倫理的な懸念事項でもあります。PIIが盗まれたり公開されたりすると、個人や企業にとって財務的、物理的、または評判的に壊滅的な影響を与える可能性があります。ほとんどのコンプライアンスフレームワークには、何らかの形で明示的なデータ保護が含まれています。

データプライバシーは、いくつかの保護層とベストプラクティスを組み込んでいます:

  • 暗号化と暗号技術:保護されたデータは外部の者に読まれないようにしなければならず、サーバー内でのデータの保存中や転送中の暗号化はプライバシーの重要な部分です。 
  • 物理的保護:デジタルの世界でも、データは物理的な場所に保存され維持されます。その情報を管理する組織は、データセンター、ワークステーション、モバイルデバイスを保護するための物理的な保護策を講じる責任があります。
  • 管理的措置:複雑なプライバシーと保護法は、管理とポリシーの実施を必要とします。組織は、データの露出を防ぐために従業員を訓練し、情報を保護するための情報ガバナンスポリシーを開発し、インサイダー脅威のような課題に対抗するための実践を作成する必要があります。
  • リスクベースのセキュリティ:アドホックなセキュリティでは複雑なシステムを実際に保護することはできませんが、リスクベースの評価とコンプライアンスは、規制と顧客の最善の利益に沿ったユーザー情報を保護する包括的なガバナンスとプライバシーポリシーを開発するのに役立ちます。

コンプライアンスと認証の表

Kiteworksは、コンプライアンスと認証の達成において長いリストを誇っています。

データプライバシーを規制する法律は何ですか?

プライバシーの基本的な原則はありますが、ほとんどの業界には独自の業界課題に対応するための規制と実践のセットがあります。異なる種類のデータは異なる種類の保護を必要とし、さまざまなコンプライアンス法が異なる業界に適用されます。

世界中でプライバシーを規制する主要な法律のいくつかは次の通りです:

HIPAA

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療業界と患者情報を規制します。医療情報はしばしば最も重要なデータ形式の一つと見なされ、厳格なプライバシーとセキュリティコントロールを必要とします。

HIPAAの下では、患者情報は「保護対象保健情報」と定義され、患者の医療またはその支払いに関連するすべての情報をカバーします。これには、医師の報告書、内部文書への患者の回答、提供された医療サービスの一部として提供された支払い情報などが含まれます。

すべてのセキュリティ対策(暗号化、ITコントロール、リスク管理、物理的保護、管理ポリシーを含む)は、PHIが患者の許可を超えて露出しないようにすることを中心にしています。

HIPAAは「対象事業体」として知られる病院、医師、健康保険提供者に適用されます。HIPAAはまた、「ビジネスアソシエイト」または対象事業体にサービスを提供するベンダーにも同様に適用されます。HIPAAの下では、PHIを取り扱うビジネスアソシエイトは、対象事業体のパートナーと同様に患者のプライバシーに対して責任を負います。

HIPAAの下での不正開示に対する罰則は厳しく、コンプライアンス違反に対して年間数百万ドルの罰金が科される可能性があり、露出の種類に応じて個人に対する懲役刑の可能性もあります。侵害が発生した場合、組織はウェブサイト、地元のニュース報道、保健福祉省への通知を通じて、侵害について詳細でしばしば非常に公的な開示を行う必要があります。

FISMA

連邦情報セキュリティモダニゼーション法は、連邦機関が政府業務の一環として使用されるPIIを保護するためのコントロールを実施することを要求します。国家標準技術研究所のガイドラインに基づき、FISMAはこれらの機関に対し、国家標準技術研究所(NIST)特別出版物800-53、SP 800-171、連邦情報処理規格(FIPS)199、およびFIPS 200を含む主要な仕様に基づいて基本的なセキュリティ原則を実施することを求めています。

ISO 27000シリーズ

国際標準化機構は、公共および民間の組織が技術をより良く活用できるようにするために、いくつかの技術的および専門的なトピックに関する仕様と標準化されたベストプラクティスを提供しています。これらの標準の一つは、ISO 27000シリーズとして知られ、技術的および管理的コントロールを通じて情報を保護するためのベストプラクティスを概説する一連の文書です。

このシリーズの中で最もよく知られているのはISO 27001であり、組織が情報セキュリティ管理システムを実施する方法を詳細に説明する国際標準です。これらのシステムは、セキュリティコントロール、ビジネスポリシー、物流プロセスを統合し、複雑なITインフラストラクチャにおけるプライバシーとセキュリティを前面に押し出します。

ISO 27001は通常、どの組織にも要求されるものではありませんが、ISOは民間の組織です。多くの民間企業や公共機関は、顧客やビジネスデータをより良く保護するためにISO 27001監査を受けることを選択しています。

GDPR

一般データ保護規則は、欧州連合の加盟国に対して管轄権を持つ規則の集まりです。おそらくプライバシーに関連する最も広範で詳細な法律のセットの一つであるGDPRは、消費者(「データ主体」と呼ばれる)が可能な限り自分のデータを所有することを保証し、法律がその情報を不正な開示から保護し、ビジネスがそのデータを主体の同意なしに使用できないようにします。

GDPR法は、主体が自分のデータとビジネスがそれをどのように使用しているかについて完全な知識を要求する権利を与えます。いつでも、主体はビジネスに保管されている自分のPIIの完全な記録とその使用方法を要求することができます。さらに、主体はデータがどのように使用されるかについて明示的な同意を与える必要があります(ビジネス処理、マーケティング、その他のサービスのためであっても)。ビジネスは消費者の要求に応じてすべてのデータを削除しなければなりません。

Google、Apple、Microsoftのようなアメリカの企業は、EUでの不遵守により重大な法的損失を被っています。GDPRの下では、罰金は数百万ユーロから会社の世界的な年間収益の最大4%までの範囲で科される可能性があります。

SOX

サーベンス・オックスリー法は、ユニークな法律です。アメリカ合衆国全土での大規模な詐欺事件の一連の後(有名なWorldComやEnronの事件を含む)、SOXは企業が技術システムと財務情報を報告することを要求するために議会によって可決されました。具体的には、会社のビジネスリーダーが政府に毎年提供される財務報告書と技術報告書に署名し、虚偽の報告に対する法的影響を受けることを要求します。

SOX報告の一部には、ビジネスクライアントや消費者の財務情報に関するプライバシーのコントロールを含むデータセキュリティポリシーの通知と文書化が必要です。

CCPA

カリフォルニア州消費者プライバシー法は、GDPRに似ており、報告、保護、同意の責任をビジネスにより多く負わせます。さらに、消費者のデータに対する権利をより具体的に述べており、保存されたデータとその使用について知る権利、データを削除する権利、情報のビジネスまたはマーケティング使用からオプトアウトする権利を含みます。この法律はカリフォルニア州で事業を行う企業とカリフォルニア州の住民にのみ適用されます。

セキュアでコンプライアンスに準拠したツールでデータプライバシーを確保する

プライバシーを確保するための最良のアプローチの一つは、プライバシーをサポートする技術を使用することです。暗号化、データ管理と可視性、自動化されたコントロール、ガバナンス、リスク、コンプライアンスポリシーの技術的実装は、そのような取り組みをサポートするのに大いに役立ちます。ビジネスは、ユーザーデータのプライバシーを保護する際の法的義務と倫理的姿勢の両方を理解する必要があります。

Kiteworksプラットフォームが機密コンテンツ通信のためのデータプライバシーをどのように提供するかを学ぶために、デモを今すぐスケジュールしてください。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks