データ主体の8つの権利
ブログ解説:
組織が膨大な量の個人データを収集し、処理し続けるにつれて、データ主体の権利は現代のプライバシー法の基礎となりました。これらの権利は、個人が自分の個人情報を管理できるようにし、組織にデータの取り扱いの責任を負わせることを目的としています。企業が顧客データを扱う場合でも、エンタープライズ システムを管理する場合でも、データ主体の権利を理解することは、コンプライアンスを維持し、利害関係者の信頼を育むために不可欠です。
現在、さまざまな地域で数多くの規制が実施されており、 一般データ保護規制(GDPR) EUでは、カリフォルニア州消費者プライバシー法(CCPA)、バージニア州消費者データプライバシー法(CDPA)、ニューヨーク州金融サービスサイバーセキュリティ規制局(NYDFS)、ブラジルのレイ・ジェラル・デ・プロテソン・デ・ダドス・ペソワなど。国連貿易開発 (UNCTAD) によると、137 か国中 194 か国がデータ保護とプライバシーを確保するための法律を制定しています。
忘れられる権利
GDPR では、忘れられる権利または消去される権利を次のように定義しています。「データ主体は、不当な遅延なく個人データの消去を要求する権利を有し、データが不要になった場合、同意が撤回された場合、異議が申し立てられた場合、データが違法に処理された場合、または法令遵守のために消去が必要な場合、管理者はこれに従わなければなりません。」
この一見単純な要件は、実際には非常に複雑です。組織はまず、要求されたデータを企業データのサイロ内、またはデータベース テーブル内の孤立したオブジェクトとして隠れている場所から見つけることができなければなりません。ここで、機密データ検出ツールが役に立ち、サイロ化された企業データベースから必要な機密データを抽出するプロセスが容易になります。
整流する権利
GDPR では、訂正権を次のように定義しています。「データ主体は、管理者から、自分に関する不正確な個人データの訂正を遅滞なく取得する権利を有する。」この権利は、個人データに対する個人の管理を強化するだけでなく、組織がデータの整合性を維持するのにも役立ちます。
包括的な検索および検出機能は、データ処理者にとって再び不可欠な機能ですが、修正プロセスではデータの更新も必要となるため、処理者はロールベースのアクセス制御を使用して、機密性の高い個人情報への特権アクセスを制限する必要があります。
反対する権利
異議申し立ての権利により、個人はデータ処理者にいつでも個人データの処理を停止するよう要求できます。正当な利益に基づいてデータが処理される場合でも、個人はそのような処理に異議を申し立てることができます。
異議申し立ての権利には、消費者が自分のデータがどのように処理に使用されているかについて懸念を表明するためのオプトインおよびオプトアウトの方法が含まれます。メタデータ管理とデータ カタログにより、コントローラーとデータ プロセッサーは可視性と制御性が向上し、マルチクラウド環境でデータのすべてのインスタンスを検索し、処理から除外できるようになります。
データ最小化の権利
処理の制限またはデータ最小化の権利は、管理者とデータ処理者が個人データの収集と処理を必要なものだけに制限することを保証します。この権利は、データ収集が、明示された目的を達成するために適切かつ十分であることを保証します。
メタデータ管理とデータ カタログは、管理者がデータ ランドスケープを調査して処理するデータの範囲を確認するのに役立ちます。また、情報ライフサイクル管理 (ILM) は、不要になったデータが確実に消去 (削除) されるようにするデータ保持ポリシーを提供します。
データの移植性
データ主体は、管理者に提供された個人データを、構造化され、一般的に使用され、機械で読み取り可能な形式で受け取る権利を有します。また、処理が同意または契約に基づいており、自動化された手段によって実行される限り、このデータを別の管理者に妨害なく転送する権利も有します。
組織がマルチクラウド環境に多くのデータを保存するにつれて、 ワールド·ワイド·ウェブ·コンソーシアム(W3C) 相互運用性を高めるために、オープンソースのデータ管理標準を導入しました。データの移植性がなければ、個人データは保存されているプラットフォームに制限されます。W3C のクラウドネイティブ アーキテクチャは、データを標準形式で保存することでこの問題を解決し、さまざまなプラットフォーム間で簡単にアクセスできるようにします。
情報を受ける権利
通知を受ける権利は、保存期間やデータ共有契約の開示など、収集された個人データとそのデータの処理方法について消費者に通知することを保証します。
個人から直接個人データを収集する組織は、その使用について個人に通知することができます。データがサードパーティのソースから取得される場合も、個人に通知する必要があります。これは、レイヤー化、ダッシュボード、データ収集後 1 か月以内のタイムリーな通知 (電子メールまたはアラート) を通じて実現できます。
プロファイリングされない権利
人工知能と機械学習が意思決定の自動化に利用される時代において、この権利は、ローン承認や信用スコアリングなど、個人に重大な影響を与える自動化プロセスのみによって下される意思決定に個人が左右されないことを保証します。組織は、偏見や不公平な結果のリスクを軽減するために、安全策を実装し、必要に応じて人間の介入を提供する必要があります。
アクセス権
アクセス権には、データ処理者が個人に、システムに保存されている個人データへのアクセスを許可することが含まれます。たとえば、個人は個人データに関する情報を取得するために、Subject Rights Requests (SRR) フォームを送信できます。
これには、データがどのように処理されるか、関連するデータのカテゴリ、およびデータを受け取った第三者に関する情報が含まれます。組織は、通常 1 か月以内にこのような要求に迅速に対応し、個人がデータの正確性を確認し、その使用方法を理解できるようにする必要があります。
SOLIXCloud 消費者データプライバシー
データプライバシーバイデザインは、クラウドデータ管理に対する設計アプローチであり、 データプライバシー規制 地域や管轄区域ごとに異なるソリューションを必要とするのではなく、世界的に要求される要件が満たされます。
SOLIXCloud Consumer Data Privacyは、 W3C オープン標準ベースのセキュリティ、SOLIXCloud 共通データ プラットフォーム、および消費者データ プライバシーの 8 つの原則。
Solix 機密データ検出: ソリックス 機密データの検出 オンプレミスとクラウド環境の何百ものデータ ソースにわたって、構造化データと非構造化データの種類にわたって機密情報を識別するための広範なスイートを提供します。事前に構築された検出パターンとカスタム パターンを組み込む柔軟性により、企業全体で機密データを簡単に効率的に識別できるようになりました。この総合的なソリューションは包括的なレポートも提供し、組織の堅牢なコンプライアンスと監査への準備を保証します。
Solix データマスキング: ソリックス データマスキング 多様なデータ リポジトリとタイプにわたる機密データを保護するための包括的なマルチクラウド ソリューションを提供します。参照マスキング、編集、フォーマット保持暗号化など、さまざまなマスキング手法を網羅しています。ユーザーは定義済みのセキュリティ ルールを利用したり、カスタム ルールを導入したりできます。データセット全体でフォーマットと参照整合性を保持することで、Solix はコンプライアンスやデータ セキュリティ標準を損なうことなく、データが機能し続けることを保証します。
Solixデータコンプライアンス: SOLIXクラウド 消費者データのプライバシー は、SOLIXCloud Common Data Platform (CDP) のお客様が消費者データ保護の高まる要件に対応できるように支援する統合ソリューション スイートです。「プライバシー バイ デザイン」ソリューション スイートには、エンドツーエンドの暗号化、メタデータ管理、データ プロファイリング、データ ガバナンス ルール、機密データの検出、データ マスキング、データ コンプライアンスが含まれており、すべての個人識別情報 (PII) が適切に識別、分類、マスキングされ、GDPR、CCPA、NYDFS、LGPD、PII、PHI、PCI などの規制要件を満たすことができます。
詳細情報: 「消費者データ プライバシー規制に準拠するには?」 完全なガイドでは、消費者データ プライバシー規制への準拠を保証し、コストのかかる違反からビジネスを保護するための実用的な手順が紹介されています。 今すぐ読んでください!
