PIPEDAコンプライアンスとは何ですか?
PIPEDAとは何か、そしてカナダで事業を展開する企業にどのようにPIPEDAコンプライアンス要件が適用されるのかを知るために、読み進めてください。
PIPEDAは何の略か?個人情報保護および電子文書法。
PIPEDAとは何ですか?
PIPEDA(個人情報保護および電子文書法)は、カナダの民間部門の組織に対する連邦プライバシー法です。PIPEDAは、eコマースにおける信頼とデータプライバシーを促進するために2000年に法律として制定されました。それ以来、銀行業界、メディア・エンターテインメント業界、医療セクターなど、他の業界にも拡大しています。
PIPEDAは、個人識別情報(PII)の収集、使用、および開示を管理し、個人情報に関する個人のプライバシーの権利を認識しています。また、組織がPIIを収集、使用、または開示する必要性を適切とみなされる方法で規制しています。
欧州連合の一般データ保護規則(GDPR)と同様に、PIPEDAの下では、個人は組織が保有するPIIにアクセスし、それを収集する責任者を特定し、なぜ収集されているのかを理解し、その正確性に異議を唱える権利があります。
PIPEDAは、カナダのデータ侵害通知要件を国の貿易パートナーと一貫させるために設計されています。カナダ政府による2017年の規制影響分析によれば、この法律は現在、GDPRと同等のプライバシー保護レベルを提供しているとされており、EUからカナダの組織への個人データの自由な移動を可能にしています。
PIPEDAにおける個人情報(PII)とは何ですか?
カナダのPIPEDAは、個人情報の使用、収集、および開示を管理しています。この法律によれば、PIIは、記録されているかどうかにかかわらず、特定可能な個人に関する事実または主観的な情報を含みます。これには、以下のカテゴリーに分類されるあらゆる形式のPIIが含まれます:
直接識別子:
- 年齢、名前、ID番号
- 人種、国籍、または民族
- 個人の血液型
- DNA
- 婚姻状況
- 医療情報(米国の医療保険の相互運用性と説明責任に関する法律 [HIPAA] に相当)
主観的情報:
- 意見、評価、コメント
- 社会的地位
雇用の詳細:
- 医療、教育、雇用記録
- 社会保険番号または運転免許証
- 従業員ファイル、信用履歴、財務データ
- 懲戒処分
PIPEDAでカバーされていないものは何ですか?
一般的に、PIPEDAの下でPIIと見なされない詳細には以下が含まれます:
- カナダのプライバシー法に基づいてリストされている連邦政府機関によって扱われる個人情報
- 州または準州の政府およびその代理人
- その人の雇用または職業に関してのみ連絡するために取得、使用、または開示されるビジネス連絡情報
- 個人が個人的な目的で個人情報を取得、使用、または開示すること
- ジャーナリズム、芸術、文学の目的など、非商業的な使用のために組織が個人情報を取得、使用、または開示すること
なぜPIPEDAコンプライアンスが重要なのですか?
カナダ国内で商業活動の一環としてPIIを収集、保存、配布する民間部門の組織は、PIPEDAに準拠しなければなりません。この法律は、法律の規定に特化した商業活動に重点を置いています。多くの商業活動がありますが、すべてがPIPEDAの対象となるわけではありません。
PIPEDAの下では、商業活動とは、特定の取引、行為、または行動、または寄付者、会員、その他の資金調達リストの販売、交換、または賃貸を含む商業的性質のある定期的な行動を指します。この商業活動の定義を満たすカナダで登録された企業は、PIPEDAコンプライアンスを示さなければなりません。このコンプライアンスを監督するのはカナダのプライバシーコミッショナーのオフィスです。
他国に本拠を置く企業であっても、PIPEDAが適用される場合があります。特に、国際貿易に関連するPIPEDAの規定に基づき、カナダの居住者から商業目的でデータを処理するすべての組織は、カナダのプライバシー法に従わなければなりません。
PIPEDAコンプライアンスの対象外の組織
PIPEDAコンプライアンスは、非営利団体、慈善団体、政治団体には適用されません。ただし、これらの団体がその主要な業務以外に商業活動を行っている場合を除きます。
PIPEDAは、類似のプライバシー法を採用している州規制の組織や活動にも必ずしも適用されない場合があります。PIPEDAに類似した法律を持つ州には、ケベック州、ブリティッシュコロンビア州、アルバータ州、オンタリオ州、ニューブランズウィック州、ノバスコシア州、ニューファンドランド・ラブラドール州があります。
PIPEDAはまた、国境を越える組織やカナダ連邦政府によって規制される組織による州間および国際取引にも適用されます。これには、通信会社、銀行、輸送会社が含まれます。
類似の法律を持つ州では、法律は依然として連邦規制の組織、すなわち連邦事業、事業、または企業(FWUBs)によって収集、使用、または開示されるPIIに適用されます。これには以下が含まれます:
- 州間トラック輸送
- 銀行
- 空港と航空会社
- ラジオおよびテレビ局
- インターネットサービスプロバイダー、携帯電話会社、固定電話会社、ケーブル会社を含む通信会社
- 国境を越える鉄道、運河、パイプライン、フェリー
PIPEDAの地理的範囲は何ですか?
PIPEDAは、カナダの民間部門の組織に適用され、連邦規制を受け、商業活動において個人情報を収集、使用、または開示する組織に適用されます。これらの組織はカナダに本社を置く必要はありません。カナダ人の個人情報を収集、使用、または開示し、カナダで事業を展開している限り、法律は適用されます。これは、事業が所在する州または準州にかかわらず、またその州がデータプライバシーに関する類似の法律を持っているかどうかにかかわらずです。
PIPEDAの10の原則とは何ですか?
PIPEDAに準拠するためには、組織はPIPEDAの10の公正情報原則に従わなければなりません。これらの原則は、個人情報の収集、使用、および開示の基準とユーザーの権利を概説しています。これらの原則は、法律の基礎となる基本的な考え方です。
責任。 組織は、その管理下にある個人情報に対して責任を負い、PIPEDAのコンプライアンスに責任を持つ人物を任命しなければなりません。これには、処理のために第三者ベンダーに転送される可能性のある情報も含まれます。
目的の特定。 PIIが収集される目的は、情報が収集される時点またはそれ以前に組織によって特定されなければなりません。
同意。 PIIの収集、使用、または開示の前に、個人の知識と同意が必要です。組織は、収集された個人情報の感度に応じて、個人の同意を得るためにオプトインまたはオプトアウトのオプションを実装できます。
収集の制限。 PIIの収集は、収集する組織が特定した目的に必要な範囲に限定されます。情報は、公正かつ合法的な手段で収集されなければなりません。
使用、開示、保持の制限。 PIIは、収集された目的以外の目的で使用または開示されてはなりません。これは、個人の同意または法律で要求される場合を除きます。PIIは、それらの目的を達成するために必要な期間のみ保持されなければなりません。
正確性。 組織によって収集されたPIIは、使用される目的に必要な範囲で正確、完全、かつ最新でなければなりません。
保護措置。 PIIは、情報の感度に適したセキュリティ保護措置によって保護されなければなりません。
開示性。 組織は、PIIの管理に関連するポリシーと実践に関する特定の情報を、要求する者に提供しなければなりません。
個人のアクセス。 要求があった場合、個人はPIIの存在、使用、および開示について通知され、その情報にアクセスできるようにしなければなりません。個人は、情報の正確性と完全性に異議を唱え、必要に応じて修正することができます。
コンプライアンスの挑戦。 個人は、データ法に準拠する組織のコンプライアンスに責任を持つ指定された個人に対して、これらの原則に関する挑戦を行うことができなければなりません。
PIPEDAはGDPRとどう違うのですか?
カナダのPIPEDAとEUのGDPRは、どちらもデータプライバシーを規制し、ユーザーにデータに対するより多くのコントロールを与える法律であるため、類似しています。しかし、両者にはいくつかの重要な違いがあります:
管轄。 GDPRは、すべての欧州経済領域(EEA)の企業およびEEA居住者の行動を監視するサービスを提供する非EEA企業に適用されます。しかし、PIPEDAはすべてのカナダの州に適用されるわけではありません。類似の法律が存在する州には必ずしも適用されません。
適用。 PIPEDAは、商業目的で個人データを処理する多くの民間部門の組織に適用されますが、GDPRはEEA居住者のPIIを収集および使用するすべての組織に適用されます。
同意。 GDPRはデータ収集および処理に対してユーザーの積極的な同意を要求しますが、PIPEDAは収集される情報の感度に応じて暗黙または明示的な同意を許可します。
これらの2つのプライバシー法は、範囲とコンプライアンス要件において異なるかもしれませんが、個人データを収集する組織の責任と透明性を強調しています。組織がヨーロッパまたはカナダで運営されているかどうかにかかわらず、法的な結果を避けるために適用されるデータプライバシー法の要件に従わなければなりません。これに応じて、組織は厳格なサイバーセキュリティリスク管理プロトコルを適用しなければなりません。
PIPEDAにおけるデータ侵害
2018年11月以降、PIPEDAの対象となる組織がデータ侵害を経験した場合、個人情報へのアクセスまたは損失が個人に重大な損害を引き起こすリスクがあるかどうかを判断する必要があります。PIPEDAによれば、データ侵害とは、組織が保有するPIIの損失、無許可のアクセス、または無許可の開示を指します。
PIPEDAの規制コンプライアンスは、組織内でデータ侵害が発生したことを認識した場合、組織はカナダのプライバシーコミッショナーのオフィスに侵害報告書を提出して報告する必要があります。
組織はまた、影響を受けた個人に対してできるだけ早く侵害について通知しなければなりません。法律は、組織がすべてのデータ侵害の記録を2年間保持することを要求しています。侵害通知手続きを遵守しないことは、PIPEDAの違反に相当します。
PIPEDAと機密コンテンツ通信
デジタル化が進む世界では、PIPEDAのようなデータプライバシー法に準拠することは、法的要件であるだけでなく、良いビジネス慣行でもあります。組織内、組織への、組織からのPIIのデジタル通信は、PIPEDAに記載された命令に従わなければなりません。PIPEDAに準拠しない、または準拠を示さないことは、重大な罰金やペナルティを招く可能性があります。
Kiteworksプラットフォームは、機密コンテンツ通信(メール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)プロトコル)を1つのチャネルに統合します。統合されたメタデータにより、組織はリスクを管理し、データがどこに行くのか、誰がアクセスしているのか、どのように共有されているのかを追跡し制御する統一されたセキュリティとガバナンスポリシーを適用することで、潜在的なプライバシーとコンプライアンスの問題を積極的に特定できます。このプライベートコンテンツネットワークは、ガバナンスの合理化、厳格なコンプライアンス、積極的な脅威検出、迅速なインシデント対応を可能にします。
Kiteworksプラットフォームのカスタムデモをスケジュールして、PIIを統合、追跡、制御、保護する方法を学んでください。
ファクトシート:
ブログ投稿:
ブログ投稿:
ブログ投稿:
ブログ投稿:
ブログ投稿:
