夜の宇宙から見た地球の暗い景色。広大な静かな星空の下の大陸の向こうに輝く都市の光。不気味な孤立感と目に見えない活動を呼び起こします。.

データ主体の基本的権利を理解し、SOAR でデータプライバシー プログラムを確立する

ユーザーアバター
ケイティ・バイコウスキー
6 1分間の読書

 

その 国際データ保護規則(GDPR)は最近2周年を迎えた。. 多くの組織は、GDPRが施行されてから2年が経ち、データ主体(組織が個人識別情報(PII)を収集した個人)からの要請を受け始めていますが、依然としてこの規制への対応に苦慮しているようです。こうした要請について、どのような点に留意すべきでしょうか。この記事では、GDPRに規定されているデータ主体の8つの「基本的権利」について概説し、これらの権利が中小企業から大企業に至るまで、あらゆる組織に及ぼす世界的な影響について考察します。また、これらの権利に関連する規制およびコンプライアンス要件は、通常、時間のかかる煩雑な作業を伴うため、組織がセキュリティオーケストレーション、自動化、および対応(SOAR)ソリューションを活用して、効率性と規制コンプライアンスを向上させる方法についても考察します。.

データ主体の8つの権利

  1. アクセス権(第15条): この権利は、消去権や訂正権といった後続のデータ権利の基礎となるものですが、いくつかの重要な考慮事項も存在します。第一に、管理者は個人データが処理されているかどうかを特定し、その結果をデータ主体に提供する必要があります。第二に、個人データが処理されている場合、管理者はデータ主体に様々な情報を提示する必要があります。関与する可能性のある第三者やデータ処理者についても考慮する必要があります。.
  2. 訂正権(第16条) この権利により、データ主体は不正確なデータの修正を要求したり、不完全なデータを是正したりできるようになります。.
  3. 消去権(第17条) 別名 忘れられる権利, この権利により、データ主体は管理者に対し、個人データの削除を要求することができます。GDPRでは、管理者によるデータ削除の遅延が正当化される具体的な事例が規定されていますが、法的調査などの考慮事項により、この権利の行使が妨げられる場合もあります。これは、組織が対応することが期待される、より一般的な要求の一つと言えるでしょう。.
  4. 処理の制限の権利(第18条) この権利により、データ主体は、管理者が個人データを処理目的に必要としなくなった場合、またはデータの処理が違法であるものの、データ主体が消去権を行使したくない場合など、一定の基準に基づき、管理者に対し個人データの処理を制限するよう要求することができます。処理の制限が解除される場合、管理者はデータ主体にその旨を通知する必要があることにご留意ください。.
  5. 情報を受ける権利(第19条) この権利は、データ管理者がデータ主体に対し、データがどのように使用され、誰に送信されたかを通知しなければならない状況をいくつか規定しています。これにより、データ主体は十分な情報を得て適切な判断を下したり、それに応じてその他の権利を行使したりできるようになります。.
  6. データポータビリティの権利(第20条) この権利により、データ主体は、技術的に実行可能な場合、読み取り可能な形式で、個人データをあるコントローラーから別のコントローラーに転送することを要求できるようになります。.
  7. 異議申し立て権(第21条) データ主体によるデータの処理停止要求がデータ管理者によって拒否された場合、データ主体は第 18 条に基づいてその拒否に異議を申し立てる権利を有します。.
  8. 自動化された意思決定に関する権利(第22条) この権利により、データ主体は、プロファイリングを含む自動化された意思決定のみに服従する権利を有し、法的または類似の重大な影響が生じる可能性があります。第22条では、契約上必要な意思決定や法律で認められている場合など、この権利の例外も規定されています。これは、特にターゲットを絞ったマーケティングキャンペーンを展開する組織にとって、特に困難な場合があります。.

その他の考慮事項

データ主体の8つの基本的な権利以外にも、組織が認識しておくべき権利や考慮事項がいくつかあります。個人データの中には、「センシティブデータ」と呼ばれる特別な配慮が必要なサブセットがあります。これには、犯罪歴や犯罪行為に関する個人データ(第10条)や、児童に関する個人データ(第8条)が含まれます。.

時間要件に注意する

データ主体からの要求に応じる際、組織は、記載が求められる情報を把握し、要求の履行を確認し、あらゆる対応策を説明できなければなりません。時間は刻々と過ぎていくことを念頭に置いてください。GDPRは、データ主体からの要求への対応(30日以内)と監督当局へのデータ侵害報告(72時間以内)の両方に基づく厳格な期限を設けています。.

コンプライアンスプロセスをSOARプラットフォームに統合することで、これらのタイムラインを容易に追跡し、SOARの指標、レポート、ダッシュボードを活用してコンプライアンス期限の遵守を確実にすることができます。プロセスタイムラインのリアルタイム表示に加えて、SOARプラットフォームを使用して、通知やレポート提出などのワークフローベースのタスクをトリガーすることで、プロセスが正確かつタイムリーに実行されることを保証できます。.

主要リソースを確立する

データプライバシープログラムを構築する際、最初の重要なリソースの一つは、データディスカバリプロセスです。このプロセスでは、機密情報をライフサイクル全体(第三者との情報交換を含む)を通じて特定し、マッピングします。文書化されたデータフローとデータ分類は、今後の方向性を定めるための基本的なリソースとなります。.

組織の機密データを特定し、データライフサイクルをマッピングしたら、次のステップは関連するシステムを分類することです。優先順位付けには様々な要素を考慮する必要がありますが、一般的には、リスク要因とビジネス上の重要度から始めることができます。これらを組み合わせることで、組織は高リスク領域に厳格な管理と保護が必要な優先順位付けを行うことができます。管理体制を構築し、リスク軽減のための支援技術を導入する際に、これらの教訓は中リスクおよび低リスクのビジネスプロセスにも活かすことができます。.

組織がデータプライバシーを認識し、理解していることを確認するには、文書化が重要です。データプライバシーがもはや後付けではなく、ビジネスプロセス、サードパーティとの関係、そして自動意思決定に使用されるデータへの変更において考慮すべき事項となった時に、組織文化の変革が起こります。.

組織がデータプライバシーとセキュリティプログラムの基盤を構築したら、ビジネスパートナー、データ処理業者、その他のサードパーティベンダーを選定する際に、要件を必ず議論に取り入れてください。ビジネスプロセスは外部委託できますが、リスクの責任まで外部委託できるとは限りません。SOARプラットフォームの選択は、コンプライアンスの成功にとって非常に重要になります。SOARプラットフォームを使用して、リソースを特定し、追跡していますか?SOARプラットフォームによって、統制が追跡・監視されていますか?すべてのコンプライアンス関連文書は、SOARプラットフォームに完全に統合されていますか?SOARプラットフォームは、必要なコンプライアンス関連文書とレポートをすべて自動的に作成し、送信していますか?もしそうでない場合は、「なぜそうしないのか?」と自問してみる必要があるかもしれません。“

その他の重要なリソースとして、ガバナンス、リスク、コンプライアンスを支えるポリシーと手順があります。詳細には触れませんが、これらの補足文書は、監査人が統制の設計と実装を検証するための最初のステップです。ポリシーと手順が整備されていないと、コンプライアンス違反に陥る可能性が高くなります。確立すべき手順の一つは、組織がデータ主体からの要求をどのように受け取り、処理し、対応し、文書化するかです。.

最後に、これらのリクエストを処理するチームまたは担当者は存在しますか?この役割はIT運用担当者やセキュリティ運用担当者(SecOps)が担うことが多いため、この役割が主要な職務に付随する場合の影響を必ず考慮してください。データ主体からのリクエストを見逃さないよう、リクエストへの対応を一元的に行うことが重要です。SOARはここで役立ちます。.

IT運用チームやセキュリティ運用チームは、組織のネットワークの安全性とセキュリティの維持など、他の業務に費やす貴重な時間を、煩雑で手作業の多いプロセスに費やす必要はありません。SOARプラットフォームを用いてこれらの煩雑なタスクを自動化することで、IT運用とセキュリティ運用の効率性を高めるだけでなく、追跡・報告が必要なインシデントの数を削減・排除することで、組織のコンプライアンス向上にも貢献します。これにより、組織は管理体制が満たされていることを実証できると同時に、要求への対応と裏付けとなる証拠の提供を標準化された方法で行うことができます。.

さらに詳しく知りたいですか?

これを読んでいるあなたは、日々変化する脅威から発生する大量のアラートに圧倒され、規制やコンプライアンスのプロセスや手順に頭を悩ませているのではないでしょうか。Swimlaneがお役に立ちます!オンデマンドウェビナーをご覧ください。, “「コンプライアンスにおけるインシデント対応と報告要件の合理化」” SOAR がコンプライアンス レポートの自動化にどのように役立つかを学習します。.

眼鏡をかけた男性をフィーチャーした「コンプライアンスにおけるインシデント対応と報告要件の合理化」の Swimlane ウェビナー バナー。.

ウェビナー: コンプライアンスにおけるインシデント対応と報告要件の合理化

SOCチームがサイバー脅威の軽減と適応に努める中で、一つ変わらないことがあります。それは、インシデント対応には引き続き文書化と報告が必要だということです。エネルギー業界における一般的なコンプライアンス要件の一つに、北米電力信頼性協会(NERC)の重要インフラ保護(CIP)があります。これは、北米の基幹電力システムの運用と安定化に必要な資産を保護するために策定された一連の要件です。このウェビナーの録画では、コンプライアンス・リサーチ・コンサルタントのボブ・スワンソン氏とSOARエバンジェリストのジェイ・スパン氏が、SOARがどのようにコンプライアンス報告と監査パッケージの作成を効率化し、サポートできるかについて解説します。今すぐご覧ください!

今すぐ見る

タグ

飛翔

2020年9月18日
米国におけるデータプライバシー規制の理解とSOARの活用
続きを読む
2019年8月15日
脆弱性管理プログラムのベストプラクティス
続きを読む
2019年10月17日
APIの理解: REST
続きを読む

ライブデモをリクエストする