データの安全性を確保する。GDPR に基づく責任 – パート 2

これは、今年（2018 年）5 月 25 日に完全施行された欧州連合の一般データ保護規則に関するブログ シリーズの 7 番目で最後の投稿です。

このシリーズでは、個人データを収集、保管、使用する企業にとって、これらの新しい規制が何を意味するのかを見てきました。そして最も重要なのは、GDPR の下では最大 2,000 万ユーロ (約 2,300 万米ドル) または全世界の収益の 4% のいずれか高い方の厳しい罰金が科せられる可能性がある、コンプライアンス違反を回避するために何ができるのかということです。

GDPR に含まれる内容の多くは新しいものではないと結論付けていますが、全体として見ると、新しい規制は、これまでのデータ保護法とその「ベストプラクティス」の暗黙的な性質から、企業が遵守しなければならない明確な法的要件のセットへと移行していることは明らかです。

これまでのシリーズでは、「個人データ」を構成するもの、新しい規制の下でこのデータの処理が「合法的」かつ「透明」でなければならない理由、そして顧客の好みと同意情報を取得することがその鍵となる理由について検討してきました。また、細粒度と粗粒度の記録管理、個人データが保存されるエンタープライズ コンテンツ管理およびアーカイブ システムが GDPR の下で個人が持つ新しい権利に準拠し、サポートできることを組織がどのように保証しなければならないか、また、そうでない場合の対処方法についても検討しました。最近では、ページ レベルの暗号化を使用して内部関係者がドキュメントにアクセスする必要がある場合に、これらのシステム内で顧客の個人データが安全に保たれるようにする方法を検討しました。今回は、特に顧客ドキュメントが転送中の場合、企業が顧客データを保護し、安全に保つための他の方法について検討します。

すべての企業や組織は、顧客文書を定期的に送信および交換する必要がありますが、これには機密情報が誤って漏洩するリスクが伴います。さまざまなビジネス プロセスを可能にするには、通信が妨げられることなく流れることが必要であり、これらのリスクを軽減するためのソリューションが数多くあります。

たとえば、文書の受信者全員が、文書に含まれる機密情報や秘密情報を知ったり、閲覧したりする必要はないため、この場合、個人データの編集が適切な解決策となります。歴史的に、印刷された文書の場合、編集とは、個人データを黒のマークまたはボックスで囲んで、閲覧者から隠すことを意味していました。今日、デジタル通信では、高度な編集ソフトウェアを使用して、機密テキストを文書から完全に削除したり、スクランブル化したりすることで、同じ結果を得ることができます。

あるいは、完全な文書を送信する必要がある場合、PDF が作成され、その内容のハッシュがデジタル署名に配置される署名付き PDF を使用すると、意図した受信者が開く前に PDF が改ざんまたは変更された場合に警告が発行され、関係者に潜在的なセキュリティ侵害が警告され、迅速に対応して顧客のデータを確実に保護できます。

新しい一般データ保護規則では、組織には、保管中または転送中の個人データを保護するために適切なセキュリティ対策を講じる明確な責任があり、どのような対策を採用したか、関連するセキュリティ リスクがどのように評価され管理されたかについても明確な説明責任があります。

CrawfordTechのRedaction Expressと Signed PDFソリューションを詳しくご覧いただき、GDPRのもとで要求されることをすべて実行し、顧客データを安全に保護していることをご確認ください。