米国におけるデータプライバシー規制の理解とSOARの活用

一方、 グローバルデータ保護規則（GDPR）は欧州連合全域で施行されている。, 米国におけるデータプライバシー規制は州によって異なります。しかし、これは今後変更される可能性があります。 2020年消費者データプライバシーおよびセキュリティ法（CDPSA）, 現在、法案の審議が進められている。その間、 カリフォルニア州消費者プライバシー法（CCPA） プライバシー規制で国内をリードしています。.

GDPRとCCPAの類似点は、アクセス権、忘れられる権利、オプトアウト権といった共通の目的です。CCPAは、ウェブサイトにプライバシー通知を義務付けている点で異なります。一方、GDPRは不正確なデータを修正する権利を保障し、明示的な同意を求めています。どちらもデータ侵害通知に関しては同様の目的を共有していますが、通知のタイミング、報告機関、データ主体への通知義務のタイミングについては微妙な違いがあります。.

CCPAは引き続き国内の基準を定めていますが、この規制でさえも更新や枠組みの全面的な見直しの対象となります。カリフォルニア州プライバシー権法（CPRA）が2020年11月に州で住民投票にかけられたことから、今後数年間でこのような動きが見られる可能性が高いでしょう。さらに、現在約15の州法および連邦法が審議中です。つまり、データプライバシーに関する変化と拡大は加速的に進んでいるということです。.

さらに、米国には、HIPAAやGLBAのように特定の業界向けのデータプライバシー規制や、児童オンラインプライバシー保護規則（COPPA）に見られるように特定の人口層を対象としたデータプライバシー規制も存在します。これらの複雑なデータプライバシー規制をうまく乗り越えることができる組織は、GRC、法務、IoT、サイバーセキュリティの各グループが連携して取り組むことで成功を収めています。こうした共同の取り組みは、企業の文化や意識の変革も促進します。.

ビジネス運営やテクノロジーの移行のロードマップを作成する際に、データのプライバシーを後回しにすることはもはやできません。.

GDPRと同様に、米国も各州が発行・施行する断片的な規制に伴う固有の課題を認識し始めています。ここで、前述のCDPSAが役立ちます。CDPSAは、中央集権的で連邦政府が施行する規制によってこの課題に対処するだけでなく、3つの企業動向に応じた基準を設けています。CDPSAでは、小規模企業とは、従業員数が500人未満、3年間の平均総収入が1億4千万5千万ドル未満、処理データレコード数に基準がない企業と定義されています。.

これはGDPRとは少し異なり、収益、従業員数、事業運営に応じて明確に定義された閾値に関してCCPAと類似点があります。米国は、コンプライアンスコストと消費者データ保護のメリットのバランスを取ることを目指しています。歴史がこれを左右するのであれば、米国の法律は商業に有利になる可能性が高いでしょう。米国の法律が州のデータ保護法に取って代わるかどうかを予測できる水晶玉があればいいのですが。また、連邦法はCCPAが設定した基準を満たし、それを上回ることができるでしょうか？今のところは、主要なベストプラクティスに基づいてデータプライバシープログラムを構築することができます。.

課題

ほとんどすべての組織、あるいはすべての大規模組織、小規模組織が、国内外で変化する規制への対応に苦慮しています。国内外でのデータプライバシー規制のあらゆる変更に対応することは、あらゆる組織にとって困難な課題です。.

組織内でデータプライバシーコンプライアンスを確立し維持するために必要な努力は、特定の個人やチームに偏るものではなく、組織全体で課題を議論し、行動方針を理解するための共同作業です。この取り組みを成功させる鍵は、データのライフサイクル全体にわたる理解、データとやり取りする環境のシステム分類、関与する第三者、そして文書化です。そう、古き良きポリシーと手順です。ポリシーと手順は魅力的かもしれませんが、それはまた別の機会に取り上げましょう。データとシステムに関する文書化された理解がなければ、監査人や監督機関に懸念を抱かせるのは容易ではないことを覚えておいてください。.

データライフサイクルをマッピングする際には、あらゆる入口と出口、そして自動処理を必ず考慮してください。これは、マーケティングを外部委託したり、メール配信やキャンペーンを実施したりする場合、特に難しい側面となる可能性があります。 忘れられる権利 この場合、あなたの組織が、メールを含むすべての個人データの削除を求めるEU市民からの要請に応じられるかどうかは、状況によって異なります。自動化されたメールキャンペーンなどの二次的またはアウトソーシングされた業務プロセスは、コンプライアンス違反のリスクが急激に高まります。.

SOARソリューション

データプライバシー規制が組織に課題を与え続ける中、テクノロジー、人材、コンプライアンス遵守を整合させるための希望と戦略があります。 セキュリティオーケストレーション、自動化、対応（SOAR）ソリューション. SOAR プラットフォームを適用可能なシステムに統合することで、企業はセキュリティ オペレーション センター (SOC)、IT、コンプライアンス、その他のプロセス全体でデータを同期して使用できるようになります。.

SOCとIT部門は既に多くの業務を抱えています。コンプライアンスに関する責任が加わると、貴重な時間と注意力がさらに分散してしまう可能性があります。そこで自動化が役立ちます。.

SOARは、あらゆる組織が既存の人材、プロセス、テクノロジーを活用できるよう支援します。これは、チームに新しいコンプライアンス機能を追加する必要がある場合にも役立ちます。データ主体の身元確認など、コンプライアンスの特定の要素には人間の介入が必要となるため、SOARソリューションは指定されたワークフロープロセスを自動的に実行し、手動タスクが必要な場合は担当者に通知します。さらに、SOARプロセスは、手動による評価と決定以外のすべての作業をSOARが処理するため、人間が余分なタスクを実行する必要がなくなります。人間の判断が決定され、適切なアクションが示されると、SOARの自動化とオーケストレーションが起動し、残りのプロセスを完了します。.

前述のコンプライアンスリソースから得た知見と自動化されたワークフローを活用することで、チームはデータ主体からの要求に迅速に対応しながら、組織の重要なセキュリティ体制を維持できます。SOARソリューションの自動化を活用する組織は、これらのプロセスのほとんど、あるいはすべてを人手を介さずに処理するワークフローを構築することで、SOCチームとITチームへの過度の負担を回避できます。.

さらに詳しく知りたいですか?

これを読んでいるあなたは、日々変化する脅威から発生する大量のアラートに圧倒され、規制やコンプライアンスのプロセスや手順に頭を悩ませているのではないでしょうか。Swimlaneがお役に立ちます！オンデマンドウェビナーをご覧ください。, セキュリティオーケストレーション、自動化、対応（SOAR）ソリューション SOAR がコンプライアンス レポートの自動化にどのように役立つかを学習します。.

ウェビナー: コンプライアンスにおけるインシデント対応と報告要件の合理化

SOCチームがサイバー脅威の軽減と適応に努める中で、一つ変わらないことがあります。それは、インシデント対応には引き続き文書化と報告が必要だということです。エネルギー業界における一般的なコンプライアンス要件の一つに、北米電力信頼性協会（NERC）の重要インフラ保護（CIP）があります。これは、北米の基幹電力システムの運用と安定化に必要な資産を保護するために策定された一連の要件です。このウェビナーの録画では、コンプライアンス・リサーチ・コンサルタントのボブ・スワンソン氏とSOARエバンジェリストのジェイ・スパン氏が、SOARがどのようにコンプライアンス報告と監査パッケージの作成を効率化し、サポートできるかについて解説します。今すぐご覧ください！

今すぐ見る