データプライバシーの原則を適用する

学習の目的

この単元を完了すると、次のことができるようになります。

• 10 個の重要なプライバシー原則を挙げる。
  
• 原則を組織にどのように実装できるかを説明する。
  

プライバシー原則

データプライバシーの基本事項についてある程度理解できたところで、いくつかの原則と、それが組織にどのように適用されるかについて見ていきましょう。法令の要件は世界中で異なりますが、多くのプライバシー法の基盤となっている共通原則もいくつか存在します。前の単元で触れた原則について詳しく見てみましょう。

公正さと透明性

組織は個人データを合法的、公平かつ透明性のある方法で取り扱う必要があります。

組織はこの原則を実装するために、適用される法律と、お客様やエンドユーザーと交わしたプライバシーに関する約束またはサービスレベル契約 (SLA) に従って個人データを処理します。前述したように、Web サイトで、データ管理者の立場で収集する個人データと収集理由 (Cookie および分析を通じて収集される情報を含みます) を詳しく記載したプライバシーに関する声明を公開することもお勧めします。プライバシーに関する声明では、収集しない情報の種別を記載することも重要です。結局のところ、どのような方法でプライバシーデータを入手する場合でも、それを処理する前に同意を得る必要があります。 

目的の制限

組織による個人データの処理は、具体的、明確かつ正当な目的で行う場合に限る必要があります。 

つまり、組織が個人データを収集するときには常にデータの使用方法を明確かつ具体的に伝える必要があります。ほとんどの場合、伝えていたのとは異なる目的にデータを使用するときには、正当な法律上の理由を示し、処理する前に許可を得る必要があります。

データの最小化

組織は、収集するデータを当該の処理目的に必要な最小量のみに限る必要があります。 

提供するサービスの実施に必要でない限り、個人データを収集するべきではありません。一般データ保護規則 (GDPR) では、個人データは「処理する目的に対して、十分で、関連性があり、必要なものに限定する」と定められており、医療保険の相互運用性と説明責任に関する法律 (HIPAA) では、これは「必要最小限」規則と呼ばれます。

データの最小化の具体例を見てみましょう。あなたは組織の従業員が利用する無料送迎バス用の社内向けモバイルアプリケーションを開発しているとします。このアプリケーションで収集して処理する必要があるデータには、従業員の自宅住所と勤務先住所や、その他の基本情報 (氏名と電話番号) などの個人データが含まれます。ただし、従業員の生年月日、民族性、健康情報、金融情報などは、このアプリケーションには必要ありません。このような余分な情報は必要でないため、収集するべきではありません。

正確さ

個人データは、正確かつ最新に保つ必要があります。

お客様へのサービスプロバイダーとして、組織はシステムに正確な記録を保持し、お客様に変更があった場合にはそれをデータに反映する必要があります。正確でないとみなされたデータはすべてただちに消去または修正するメカニズムが必要です。

データの削除と保持

組織が個人データを保管するのは、当初の収集目的に必要な期間に限る必要があります。

今後どこかの時点で使用する可能性があってもデータを無期限に保持するべきではありません。明確な期間を設定し、データを削除するタイミングと、その期間データを保持する論理的根拠を定めます。たとえば、悪意ある敵対行為を特定して追跡するために、セキュリティログファイルを一定期間保持する必要があることがあります。ただし、期間は有限にする必要があり、論理的根拠も必要です。また、法的ドキュメントなどの特定の種類のデータについて、組織がサービスを提供する国のデータ保持に関する法律についても知っておく必要があります。

セキュリティ

組織は技術的、組織的データ保護措置を適切に使用して個人データを不正な取り扱いや偶発的な開示、消失、破壊または変更から保護する必要があります。 

組織はセキュリティシステムによってデータを十分に保護できることを確認する必要があります。また、保存データを安全に保護するためにプライバシー強化手法を使用することもできます。そのいくつかを見ていきましょう。

• データの分離は、異なるクラスのデータへのアクセスを分割したり制限したりするために、データをさまざまなデータカテゴリに分割することです。この手法を使用すると、組織はデータセットや異なるユーザーグループに対して別々のアクセスルールを作成できるため、承認された個人のみにアクセス権を付与できます。
  
• 暗号化は、情報が判読不能な形式にスクランブルされて、正しいキーを持つユーザーのみがアクセスまたは復号化できるセキュリティ手法です。暗号化を使用することでデータの機密性を保護できます。
  
• 仮名化では、データ主体を識別できる情報を仮名や識別子に置き換えます。これによって、個人データレコードと識別子で個人を特定しにくくします。
  
• 匿名化は、プライベートな情報や機密情報を消去、難読化 (マスキング)、または暗号化することによって保護するプロセスです。これによって、個人に関連付けられているすべての識別子が削除されます。
  

皆さんの組織にはデータを保護するためのその他のセキュリティ対策も存在するかもしれません。コンピューティングシステムへのアクセス権を持つすべての従業員が、職種にかかわらずプライバシートレーニングを受け、従業員の許容される使用に関するポリシーを読んで同意することをお勧めします。

説明責任

組織はプライバシー法、規制、データプライバシーの原則に準拠していることを示すポリシーと実装プロセスを作成する必要があります。

また、プライバシーバイデザインとプライバシーバイデフォルトを推進するための措置を講じる必要があります。

• プライバシーバイデザイン: プライバシーバイデザインは、組織が新しいまたは改善されたプロセスや活動の計画を開始するとき、または新しい商品、サービス、機能を開発するときに行われます。
  

組織が新しい商品を作成するときには、計画および設計フェーズ中にプライバシーのポリシーと原則について考慮する必要があります。この計画および設計プロセスにすべての関係者と法務チームを含めることで、プライバシーが優先事項であり組織が法律に従っていることを確認することが重要です。

• プライバシーバイデフォルト: 組織は、個人データの収集、処理、または保管を行う際に、最もプライバシーを重視したデフォルト設定を選択する必要があります。たとえば、オンラインソーシャルネットワークアカウントにサインアップしてサービスを使用しようとしているユーザーに対して、サービスが機能するために名前とメールアドレスのみが要求される場合、プライバシーバイデフォルトの原則に従っていると言えます。ただし、そのソーシャルネットワークアカウントがユーザーの場所など、名前とメールアドレス以外のデータをすぐに共有し始めた場合は、プライバシーバイデフォルトの原則に従っているとは言えません。
  

個人の権利

プライバシー法では、個人データに対するデータ主体の権利についても規定されています。次のような権利が含まれます。

• データ主体アクセス要求: データ主体は、データ管理者がデータ主体について保持する個人データのコピーにアクセスし、データ管理者が自分の個人データを処理していることについて確認を受ける権利を有しています。また、処理の目的、処理対象のカテゴリ、データの保管期間、個人データの共有先についての詳細を知る権利も有しています。
  
• 異議を申し立てる権利: データ主体は、特定のケースにおいて、自分の個人データの使用方法について異議を申し立てることができます。
  
• データの訂正: データ主体は、個人データが不正確または不完全な場合は訂正または完全にするよう要求することができます。
  
• 制限: データ主体は、限られた状況において、個人データの処理を中止するよう企業に要求することができます。
  
• 消去権: 「忘れられる権利」または GDPR ではデータを削除する権利とも呼ばれています。データ主体は、一定の要件を満たした場合、自分の個人データを削除するようデータ管理者に要求することができます。米国はプライバシーに関して分野に基づいているため、米国のほとんどのプライバシー法にはこの権利が含まれていません。例外は児童オンラインプライバシー保護法 (COPPA) です。
  
• データの可搬性: 処理の種類に該当する場合、データ主体は、自分の個人データを別のデータ管理者に転送することができるように、エクスポート可能な形式で提供するようデータ管理者に要求する権利を有しています。
  

サービスプロバイダーには、お客様がこのような要求を行うのをサポートする義務があります。データ管理者は、データ主体の要求に対応する責任があります。したがって、個人データの管理に使用するシステムで、アクセス、訂正、消去、可搬性などの求めに対応できる必要があります。

国外移転

欧州連合 (EU) などの一部の国や地域では、個人データの移転先がデータ保護を保証する十分な安全保護措置を実施していない限り、個人データの国外または域外移転を制限しています。国際的に運営している組織は、国境をまたいで個人データを合法に移転できるようにするための手段を実装する必要があります。

データ保護影響評価 

組織が個人データを収集、保管、または使用すると、処理対象のデータが帰属する個人はリスクにさらされます。そのリスクには、個人になりすますことを目的とした窃盗から偶発的な開示までさまざまなものがあります。GDPR では、組織がデータ保護影響評価 (DPIA) を実施することが義務付けられています。情報処理と自由に関する国家委員会 (CNIL) によると、DPIA は人々の権利と自由に対して高いリスクとなる可能性のあるデータを評価し、そのようなリスクをできるだけ早く特定して最小限に抑えるために設計されています。組織は、データ主体へのリスクが高いデータの収集または処理活動を開始する前に DPIA を実施することが必要になる場合があります。  

まとめ

これで、プライバシーの原則と、それが組織にどのように適用されるかについて理解を深めることができました。次の単元では、顧客データについてと、データカストディアンが顧客データを保護するために果たす役割について学習します。

リソース

• 外部サイト: CNIL: Privacy Impact Assessment Manual (プライバシー影響評価マニュアル)
  
• 外部サイト: Forcepoint: What Is Data Encryption (データ暗号化とは)
  
• 外部サイト: Trend Micro: What Is Pseudonymization (仮名化とは)
  
• 外部サイト: Imperva: What Is Data Anonymization (データの匿名化とは)