このサイトでは、より良いサービスをご提供するためにクッキーを使用しておりますこのサイトの使用に伴い、お客様はかかる通信に同意することになります。当社は皆様のプライバシーとデータのセキュリティを確保致します。Cookie ポリシープライバシーポリシーが最近更新されましたので、確認してください。

発効日:2018年5月25日 – この日を以って法律に準拠しない組織は重い罰金を課されます。

GDPRに対して小さいながらも重要な要素: Kingston暗号化USBで法律を遵守: 暗号化USB GDPRインフォグラフィック- PDF

Keep Compliant with Kingston

脅威の管理とリスクの軽減

個人から企業や政府機関まで、あらゆるニーズをカバーするオプションがあります。

  • 100% 準拠した暗号化 USB データストレージ
  • シンプルで使いやすく、ソフトウェアやドライバーは不要
  • 迅速かつ効率的な導入を目指した設計

Compliance logos

EU GDPR:留意すべき重要な5つの領域:
  1. 暗号化 -データ処理セキュリティ基準(第32条、処理のセキュリティ)
  2. データ保護責任者 (DPO) の指名
  3. サイバーセキュリティシステムの確立
  4. 文書化された説明責任
  5. 同意事項の理解

EU GDPR:留意すべき重要な5つの領域:

違反状態に対する罰則について

違反状態に対する罰則について

  • GDPRにより、GDPR違反の組織は年間世界売上の4%以下の罰金 または約219億5200万USドル(€2000万ユーロ-高額ないずれか)が課されることがあります。
  • 会社は 秩序正しく記録を残していないこと(28条)、 監督機関およびデータの対象者に違反の旨を通知していないこと、または影響評価を行っていないことに対して2%の罰金を課されることがあります。
  • 重要なのは、これらの規則が管理者と実行者の両方に適用されることです。つまり、「クラウド」が GDPR の適用から免除されることはありません。
認識すべき事項
ビジネスへの影響
  • EU 市民に関する情報を取り扱うすべての企業は、準拠する必要があります
  • 重要なのは、これらの規則が管理者と実行者の両方に適用されることです。つまり、「クラウド」が GDPR の適用から免除されることはありません。
  • EU 市民のデータを処理する、EU および EU 外のすべての組織に適用されます
  • 個人識別情報を処理または保持する組織は、個人データの損失を防ぐために適切なセキュリティ措置を講じることが義務付けられます。

ビジネスへの影響

ビジネスに必要な準拠事項
  • 自己評価
    従業員が 250 人以上の企業には、データ保護責任者が必要になります。組織は、従業員と顧客の個人識別情報の取り扱いに関する社内監査を行う必要があります。
  • データを格納する内外の製品 / サービスの地図を作成する
    データセキュリティポリシーの下で対象となり、データ暗号化が確実に利用されるために使用される企業の設備を記録し、義務付けます。品目は、主にサーバー、ハードドライブ、SSD、USB フラッシュドライブ、コンピューターおよびモバイルデバイスなどです。
  • インベントリ分析
    個人データの総量を全体として評価します
  • パージ
    不要な個人識別情報 (PII) のアーカイブを除去します
  • 情報の管理者
    プライバシーリスクおよび影響の評価をレビューします
  • 契約
    2018 年 5 月の施行開始日後に義務化されるポリシーを、今、制定することでビジネスの陳腐化を防ぎます
  • データ違反
    規制では、72 時間以内の通知が求められます

ソリューション - 個人データ/個人識別情報 (PII) のデータ暗号化など、適切なセーフガード、技術標準、およびポリシーを実施し、違反のリスクを軽減します。

(詳細 – 暗号化USB標準ベストプラクティス)

データ暗号化処理
  • KingstonとIronKeyの暗号化USBドライブは、データ暗号化のコンプライアンスを標準化するためのソリューションの1つです。
  • 個人データの暗号化を含む、リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的措置」 (32条処理セキュリティ)を実施してください。
  • この提案は、組織に極秘データを移動時および保存時の両方で暗号化することを要求します。
  • EU 居住者の個人識別情報を処理または保持する組織は、個人データの損失を防ぐために適切なセキュリティ措置を講じることが義務付けられます。
  • 組織は、サードパーティのサービスプロバイダーとの契約に、これらの強化されたデータ処理標準を含めることが義務付けられます。

データ暗号化処理

増大した地域的範囲 (域外適用)

データプライバシーの規制状況に対する最大の変化であることに、議論の余地はありません。

  • GDPR の拡大された管轄は、企業の場所に関係なく、EU に存在するデータ対象者の個人データを処理するすべての企業に適用されます。

増大した地域的範囲

違反の通知

データ違反の通知は、違反を知ってから、可能な場合は 72 時間以内に実行されなければなりません。ただし、個人の権利または自由に対しリスクとなる可能性がない場合は、DPA への通知を行う必要はありません。

新消費者権利
消費者利益
  • GDPR により強化される保護と匿名性の維持
  • 消費者がデータの共有を希望しない場合は、その権利を消費者に与えます
  • 新たに強化された消費者権利- ‘忘れられる権利 - ‘データポータビリティの権利が企業にデータの使用を停止することを要求します。
  • これらの消費者の権利に違反する企業は、消費者および法人によるさらなる訴訟の対象となります

消費者利益

同意

同意に関する条件は強化され、同意事項に関する要求は、その同意事項に付随するデータ処理の目的とともに、わかりやすく容易な形式で承諾されなければならないため、企業は、専門用語を多用した長く読みづらい契約条件を使用することができなくなります。

  • 同意事項は明確で、他の問題から区別でき、明確かつ平易な言語を使用してわかりやすく容易にアクセスできる形式で提供されなければなりません。同意の撤回は、同意と同様に容易でなければなりません。
忘れられる権利

「データ消去」としても知られる「忘れられる権利」は、データ管理者に個人データを消去させ、データをさらに広めることを中止させ、潜在的なサードパーティによるデータ処理を中止させる権利をデータ対象者に与えます。(第 17 条にて) 説明されている消去条件は、処理の当初の目的に関連しなくなったデータや合意事項を撤回したデータ対象者を含みます。

この権利は、かかる要求を検討する際に、管理者に対象者の権利と「データの有用性に対する公共の利益」を比較することを義務付けている点にも注意しなければなりません。

個人識別情報 (PII) について

個人識別情報 (PII) は、EU 市民に関して保持され、公開された場合に情報が漏洩した EU 市民に損害を与える可能性があるデータを指します。PII には、医療データ、生体データ、パスポート番号、社会保障およびクレジットカードの詳細などの個人認識可能な金融情報 (PIFI) が含まれます。姓や名字などPIIと見なされない情報は、他のデータにリンクされる場合、PIIになることがあります。

  • 組織のデータ資産は、データの保存およびアクセス方法、さらされるリスクのレベル、PII が含まれるかどうかを含め、リスク評価の一部として識別される必要があります。データ資産は、アプリケーションデータベース、サーバーファイルシステム、およびエンドユーザーデバイスに格納されることがあります。

個人識別情報 (PII) について

強調されるセグメント
  • 一式のEU全体の規則 - データ保護のための一式のEU全体の規則で、年間23億ユーロの節減が見込まれます。
  • データ保護を担当するデータ保護責任者は、公的機関および大規模なデータ処理を行う企業によって指定されます。
  • ワンストップショップ - 企業は1つの監督機関のみを有します(企業が主に拠点を有するEU諸国に所在)
  • EU以外の企業(EU以外に拠点を置く企業)のEU規則は、サービスや商品を提供する場合、またはEU内の個人の行動をモニターする場合に同じ規則を適用する必要があります。
  • イノベーションフレンドリーな規則 - データ保護の保護手段が、開発の初期段階から(設計およびデフォルトによるデータ保護)製品およびサービスに組み込まれることを保証
  • 匿名化(データレコード内の識別するフィールドが1つ以上の人工識別子で置き換えられる場合)や暗号化(データが許可された者だけがそれを読むことができるようにコード化されている場合)など、プライバシーフレンドリーな技術
  • 影響評価 - データ処理が個人の権利と自由の高いリスクにつながる可能性がある場合、企業は影響評価を実施する必要があります
  • 記録保持 - 中規模企業は、処理が定期的に行われている場合や、データが処理されている人の権利と自由にリスクが生じる可能性が高い場合を除き、処理活動の記録を保持する必要はありません。

詳細

一般情報保護法 (GDPR) の重要期日
  • 2018年1月31日 PCI-DSS v3.2
    • マルチファクタ認証に関する要件(8.3.1) - グローバルな組織に影響
  • 2018年6月30日 PCI-DSS v3.2
    • SSL暗号化のアップグレードに関する要件(2.2.3, 2.3, 4.1) - グローバルな組織に影響
  • 2018年4月 PSD2 –支払いサービス指令2 - 欧州企業に影響
  • 2018年5月 GDPR – 一般データ保護規則- グローバルな組織に影響

この情報は情報提供のみを目的として提供されています。キングストン社は EU の GDPR 遵守に関するコンサルティング業務や法的助言は行っておりません。EU の GDPR に関する追加情報については、以下の Web サイトをご覧ください: https://www.eugdpr.org

        Back To Top