データプライバシーに関する法律と規制

学習の目的

この単元を完了すると、次のことができるようになります。

• データプライバシーの重要性を説明する。
  
• プライバシー法が自分の組織にどのように適用されるかを説明する。
  
• プライバシーに関するお客様の期待を説明する。
  

プライバシーの概要

セキュリティのプロフェッショナルとして、自分の組織に適用される最新のプライバシー法について把握しておくことが重要です。特にお客様の個人データを扱う場合には注意が必要です。これがなぜ重要なのでしょうか? お客様と従業員のデータを確実に保護することは、信頼を築き、維持するために最も重要なことです。このモジュールでは、効果的なプライバシープログラムを実装するためのツールについて説明します。

組織でお客様のデータを保存、処理している場合は、お客様は自分のデータが適用法に従って安全に保護、使用、処理されることを信頼しています。このデータには、連絡先、ヘルスケア、金融情報などの個人データや、支出、マーケティング、分析データなどのビジネス関連の情報が含まれます。

処理または保存するデータの種類に関係なく、データを安全に保つことが重要です。顧客データの処理や保存に加えて、組織には自社のデータ (見込み客に関する知識、従業員情報、財務データなど) に対する責任もあります。

では、このデータを確実に保護するにはどうすればよいでしょうか? まず、適用されるプライバシー法を認識し、それに従う必要があります。プライバシー法についてはここで詳しく説明します。適用されるプライバシー法への準拠を文書化し、自社とお客様を保護するために、お客様のデータを収集するときには契約を作成することをお勧めします。この契約には、組織がどのように顧客データを保護し、機密を保持するかを詳しく記載します。たとえば、ほとんどの国際航空会社は公式 Web サイトで顧客のプライバシーを保護する方法、収集するデータの種類、そして収集、使用、評価、保護、保存する理由と方法を宣言することを義務付けられています。

プライバシーが重要である理由

ここで一旦立ち止まって、プライバシーの概念と、それが意味するところを確認しましょう。プライバシーは、情報またはデータを相対的な重要性に基づいてどのように管理、保護する必要があるかということに関係します。

データプライバシーは、最近、セキュリティの過失や会社が収集した顧客データをどのように使用しているかの懸念などによって注目のトピックとなっています。データプライバシーに関する懸念は、金融やヘルスケアなどの特定の分野の会社にとっては特に重要です。このような業界は、機密性の高い情報を扱っていて、通常は厳しい規制の対象となっています。また、サイバー攻撃に狙われることもますます増えており、そのような攻撃が成功すれば、データの損失だけではなく、消費者からの信頼も失われます。 

次の例を見てみましょう。クレジットカードを申し込むと、通常は正式名、誕生日、住所、政府発行の ID 番号、年収が求められます。相当な量の情報ですね。この情報は本人確認に使用されるだけでなく、クレジットカード会社がクレジット履歴をチェックするためにも使用されます。この情報は個人データとみなされ、クレジットカード会社には、この情報を保護するためにセキュリティ対策を講じることが義務付けられています。

この例では、プライバシーとはクレジットカード会社が個人情報を不正開示から保護すること、個人データを使用する方法を明らかにすること、適用される法律に従ってデータを使用すること、そしてクレジットカード申請者が自分のデータが特定の目的のために使用されることに同意していることを意味します。

プライバシー用語

プライバシー法を詳しく説明する前に、いくつかの基本定義を確認しましょう。

顧客データ: お客様が Web サイト、モバイルアプリケーション、ソーシャルメディアなどで企業とやり取りを行うときに提供する情報。

データ主体: 個人データの収集、保持、処理の対象となる個人。

個人データ: データ主体に直接帰属するデータで、個人を特定できるもの。名前、自宅住所、個人 ID (例: パスポート番号) など。

機密個人データ: 一部の個人データは機密扱いとなり、より厳格な規制が適用されます。具体的には、人種、民族的出自、政治的思想、宗教または哲学的信念、労働組合への加入、遺伝データ、生体認証データ、健康に関するデータ、性生活や性的指向に関するデータなどがあります。

処理: データに対する 1 つまたは一連の操作 (アクセス、収集、記録、取得、コピー、保存、開示、配布など)。

管理者: 個人データの処理の目的と手段を決定する個人または法人。

処理者: 管理者に代わって個人データを処理する個人または法人。

カストディアン (または取扱者): データの安全な保管、転送、保存とビジネスルールの実装に責任を持つ個人。 

データ保護機関 (DPA): データやプライバシーの保護と、組織内でのデータ保護規制の監視や執行を行う国家機関。

状況と対象データによっては、組織は処理者と管理者の両方の役割を果たすこともあります。処理者と管理者の役割については、関係者間の責任の割り当てと関連付けて考えることをお勧めします。お客様は管理者と処理者の両方になることがあります。ただし、お客様が管理者として組織にデータを提供し、組織がデータ処理の方法と目的を決定する場合は、組織が常に処理者の役割を果たします。

プライバシー法

組織が事業を行っている場所に応じて、その地域に固有のプライバシー法に従う必要がある場合があります。組織が全世界で事業を行っている場合、業務を行っている国に適用されるポリシー要件を実装することが重要です。たとえば、組織が日本で業務を行っている場合、個人情報の保護に関する法律の対象となります。

プライバシー法は個人データに関して個人を保護するために存在しています。また、個人データについて許可される使用方法と禁止される使用方法も定められています。プライバシー法が対処する内容を詳しく見ていきましょう。

• 個人データを収集、処理できるかどうか
  
• データ処理実務において、どのような情報をどのように提供する必要があるか
  
• 誰が個人データにアクセスして使用できるか
  
• 個人データをどのように処理できるか
  
• データをどのように保護する必要があるか
  
• どのような場合にデータを削除または訂正するか
  
• 誰がデータを転送し、保管できるか
  
• どのような場合に、どのような方法で個人データを他国に移転できるか
  
• セキュリティインシデントをどのように処理するか
  
• データ主体は自分の個人データに関してどのような権利を持つか
  

世界には、包括的なプライバシー法 (すべての業種や分野に適用される) と分野別のプライバシー法 (特定の業種や分野にのみ適用される) の 2 種類があります。米国連邦政府は、歴史的に分野別のアプローチを採用してきました。たとえば、医療保険の相互運用性と説明責任に関する法律 (HIPAA) は、米国の医療部門のプライバシー法であり、個人の健康状態を明らかにするデータ (保護されるべき医療情報または PHI と呼ばれます) の保護を目的としています。 

米国で国全体でのプライバシー法として唯一存在するのは児童オンラインプライバシー保護法 (COPPA) です。この法律は、オンライン企業が 13 歳未満の子供に関するデータを収集、使用する方法を規制するものです。 

国全体での包括的なプライバシー保護法がないため、いくつかの州では率先して独自のプライバシー保護法を制定しています。

• カリフォルニア州 - California Privacy Rights Act (CPRA: カリフォルニア州プライバシー権法)
  
• バージニア州 - Virginia Consumer Data Protection Act (VCDPA: バージニア州消費者データ保護法)
  
• コネティカット州 - Connecticut Data Privacy Act (CTDPA: コネティカット州データプライバシー法)
  
• ユタ州 - Utah Consumer Privacy Act (UCPA: ユタ州消費者プライバシー法)
  
• コロラド州 - Colorado Privacy Act (CPA: コロラド州プライバシー法)
  

これらの州では、独自のプライバシー保護法を最近成立させたか、または法制化を進めています。他にも多くの州が法案を検討しています。独自のプライバシー法案を可決することで、州は独自の方法で州民を保護します。

一方、欧州連合 (EU) と欧州経済領域 (EEA) は一般データ保護規則 (GDPR) による包括的なアプローチを取っています。GDPR は EU と EEA のプライバシー法であり、業種または分野にかかわらず、すべてのデータ管理者と処理者に適用されます。ただし、欧州にも、電気通信分野などの分野別の法律もいくつか存在します。

世界中のその他のいくつかの国 (日本、オーストラリア、中国、カナダ、ブラジル、アルゼンチン、インド、南アフリカなど多数) も独自のプライバシー法を施行しているか、法案を検討中です。各国には独自の法律が存在していますが、世界のほとんどのプライバシー法は、同じ基本原則に基づいています。

• 公正さと透明性
  
• 目的の制限
  
• データの最小化
  
• 正確さ
  
• データの削除と保持
  
• セキュリティ
  
• 説明責任
  
• 個人の権利
  
• 国外移転
  
• データプライバシー影響評価
  

これらの原則については、次の単元で詳しく取り上げます。

お客様との契約とサービスレベル契約

組織はプライバシー法を遵守するだけでなく、お客様との契約やサービスレベル契約 (SLA) にプライバシーに関する約束を含めています。このような約束には、適用される法律で義務付けられているものも含め、組織が個人データを使用できる方法が詳しく記載されています。

プライバシーに関する国際的な認証と標準

場合によっては、組織はプライバシー法に加えて、包括的なプライバシー要件を課す特定の認証や標準に準拠する必要があります。この認証や標準は業種ごとに異なりますが、次のものなどがあります。

• 国際標準化機構および国際電気標準会議 (ISO/IEC) 27001/27018: 情報セキュリティ管理システムの要件と、個人識別情報 (PII) 処理者として機能するパブリッククラウドでの PII 保護要件を定めています。
  
• サービス組織管理 (SOC) レポート: 企業がサービス提供のプロセスと管理において信頼と信用を確立するために役立ちます。
  
• TRUSTe 認証: 組織がプライバシーに関する説明責任の標準に準拠した責任ある業務を行っていることを示すことができます。
  
• International Organization for Standardization and International Electrotechnical Commission (ISO/IEC: 国際標準化機構/国際電気標準会議) 27701: ISO/IEC 27001 および ISO/IEC 27002 に個人情報の管理に関する条文を加えて拡張した規格です。この規格は、個人情報の処理に関するガイドラインを設けることで、各組織によるプライバシー情報管理システム（PIMS）の確立、実装、維持管理、そして継続的な改善を支援します。
  

プライバシーポリシー

組織は個人から個人データを収集する際に行った約束を遵守する必要があります。また、組織はプライバシーに関する声明を公開 Web サイトに掲載する必要があります。この声明では Web サイトの利用者から収集するデータの種類と、そのデータの使用および共有方法について説明します。プライバシーに関する声明に記載する約束は、お客様と締結する契約書に記載されている約束と類似したものにします。また、従業員のデータの収集、使用、共有および処理方法について詳細に定めた社内のプライバシーポリシーや従業員向けの通知についても、同じことが当てはまります。

まとめ

これで、プライバシーの概念、法律、お客様の期待について理解を深めることができました。次の単元では、プライバシーの原則と、それを適用して組織を保護する方法について説明します。

リソース

• Trailhead: EU のプライバシー法の基本
  
• Trailhead: カリフォルニア州消費者プライバシー保護法の基本
  
• 外部サイト: EU の GDPR の原文
  
• PDF: HIPAA の原文
  
• 外部サイト: EU: Who does the data protection law apply to (EU: データ保護法の適用対象)
  
• PDF: EU: The GDPR: new opportunities, new obligations (EU: GDPR: 新しい機会と新しい義務) 
  
• 外部サイト: World Bank Group: Data protection and privacy laws (世界銀行グループ: データ保護およびプライバシーに関する法律)
  
• 外部サイト: Reuters: U.S. Data Privacy Laws to Enter New Era in 2023 (ロイター: 2023 年に新時代を迎える米国データ保護法)
  
• 外部サイト: NIST: Privacy Framework (NIST: プライバシーフレームワーク)