世界の動向:国際的な長期データ保持規制について議論
読む12分
カリヤン・マニヤム0

世界の動向:国際的な長期データ保持規制について議論

データ保持コンプライアンスは、業界を問わず困難です。規制コンプライアンスを向上させながら、データ管理を簡素化および合理化します。

データ保持記録保持とは、ビジネス、監査、コンプライアンスの要件を満たすために、一定期間データと記録を保存および維持することです。正確な財務記録の保持、規制の遵守から災害復旧、分析エンジンへのデータ入力まで、ビジネスが最適に機能するには、適切なデータ保持ポリシーが必要です。

データ保持ポリシーを順守することで、企業が業界標準と法律に従ってデータを処理していることを証明できます。データを保持しないと、企業は多すぎる(または少なすぎる)情報を長期間(または十分でない期間)保存するリスクがあります。

このガイドでは、データ保持要件の 3 つの主なカテゴリである、政府規制、国際標準、業界固有の規制について説明します。

データ保持
出典: シャッターストック

データ保持がデータ保護にとってなぜ重要なのか?

会社と顧客の利益を保護するには、データ保持が不可欠です。企業データには、紛争の際に非常に価値のある情報が含まれることがよくあります。包括的なデータ保持構造により、規制監査、税金の問題、スタッフの問題、消費者の法的措置の際に、企業は法定費用と時間を節約できます。

さらに、効果的なデータ保持戦略により、企業は顧客サービスを向上させることができます。アーカイブ データを使用してレポートを生成すると、傾向の特定とビジネス プロセスの戦略的開発が可能になります。したがって、データ保持は、記録を保存するだけでなく、将来の計画のためのリソースを確立することでもあります。

増加すると データプライバシー 世界的な懸念から、データ規制はより厳格かつ複雑になっています。データに関する法律は国や業界によって異なりますが、基本的なデータ保持ガイドラインでは、企業が収集するデータの内容、収集理由、データの保管場所、保持期間について説明することが求められています。

データ保持に関する政府規制

データ保持に関する法律は国によって大きく異なり、国の中でもその厳しさはさまざまです。たとえば、米国は連邦制であるため、州ごとに法律が異なる場合があります。一方、超国家機関である欧州連合は、世界で最も厳格なデータ プロトコルを定めています。EU の規制が世界中に波及効果をもたらす、いわゆる「ブリュッセル効果」により、他の国に拠点を置く企業が EU の規則に従うことになる可能性があります。これは、データ保持に関する重要なガイドラインを浮き彫りにしています。つまり、事業を展開するすべての国の基準を満たすようにすることです。

主要なプレーヤーをいくつか見てみましょう。 データ保持 規則。

データ保持に関する政府規制
出典: シャッターストック

米国

事業者は、次のような適用される連邦法および州法を認識しておく必要があります。

  • 銀行秘密法(BSA)
  • 連邦情報セキュリティ管理法 (FISMA)
  • 連邦取引委員会法 (FTC 法)
  • 公正労働基準法(FLSA)
  • 医療保険の相互運用性と説明責任に関する法律(HIPAA)
  • 内国歳入庁(IRS)

電子通信取引記録法では、サービスプロバイダーに対して、すべての記録を 90 日間保存し、政府機関から要求された場合は提示することも義務付けています。

スイス

スイスのデータ保持要件は、いくつかの法典と条例によって定義されています。これには、データ保護法、刑法、付加価値税法、商業簿記および保持に関する条例が含まれます。

データ保持法では、企業(解散した会社を含む)はデータを 10 年間保持することが義務付けられています。VAT に関連する不動産に関する記録については、20 年間の保持が義務付けられています。

携帯電話番号、位置情報、デバイス識別情報は、モバイル オペレータが 6 か月間保持する必要があるデータの一部です。同様に、サービス プロバイダは、接続タイプ、ログイン、ユーザー識別、電子メールの件名、IP アドレスなどの電子メール データを保持する必要があります。

European Union

EU GDPR (一般データ保護規則) は、標準的な保持期間を規定するのではなく、同意期間の終了後に個人データを破棄することに重点を置いています。データ規制は、EU で行われるすべての取引に適用されます。

機関または企業は、個人を特定する個人データを、当初の収集目的に必要な期間を超えて保持することはできません。科学的、歴史的、または公共の利益のために保持されるデータの場合には例外があり、匿名化されたデータも無期限に保持される場合があります。

収集、使用、または保存された情報の詳細は、データ主体に明示的に提供する必要があります。GDPR によると、すべての組織は個人データ管理プロセスを詳述したデータ保持ポリシーも作成する必要があります。違反に対する罰金は最大 20 万ユーロまたは全世界の収益の 4% で、さらに顧客への損害賠償が発生する可能性もあります。

Australia

オーストラリアのデータ保持ポリシーは、主に国家安全保障と犯罪捜査を目的とした通信を対象としています。オーストラリアの規制では、モバイル サービス プロバイダーに、アカウント所有者情報、通信の種類、期間、場所、通信サービスなどのメタデータを 2 年間保持することを義務付けています。

技術の発展とビジネス モデルの変化により、通信会社はもはや十分な期間データを保存できなくなりました。データの不足と一貫性のない保存により、犯罪捜査が著しく妨げられました。そのため、2017 年に新しい法律が制定され、資格のある通信サービス プロバイダーがデータ保存規制を満たすのを支援するための助成金が利用可能になりました。

データ保持ポリシー
出典: シャッターストック

データ保持に関する国際基準

ISO/IEC は、情報通信技術の基準を国際的に標準化する共同技術委員会です。次の情報通信技術のカテゴリにわたる規制基準は、データ保持ポリシーと戦略を決定する上で重要です。

ISO / IEC 27040

データ ストレージ システムとインフラストラクチャの情報セキュリティの側面は、ストレージ テクノロジに関する知識が限られており、固有のリスクと基本的なセキュリティ概念に対する理解が限られているため、軽視されてきました。この標準は、データ侵害、構成変更、盗難、その他のデータ不正使用を軽減し、データ保持保護を向上させるためのストレージとセキュリティ技術に関する詳細な技術ガイダンスを提供します。

ISO 9001

ISO 9001品質規格は、文書と記録の維持と保管に重点を置いています。規格によれば、文書とは、 する必要があります 完了しました。変更される可能性があるため、文書は維持されます。記録には、 されています 完了。これは変更できないため、保持されます。

この規格では、データの種類、文書改訂の承認、情報の配布、古くなった文書の処理など、この情報を管理するための要件が​​定義されています。

ISO 17068:2017

この規格は、デジタル記録の信頼できるサードパーティ リポジトリ (TTPR) に関するものです。要件では、法的義務の保持期間中に証拠源としてデジタル記録を確実に保護するための、認可されたデータ保管サービスの条件を指定します。規制は、公共部門と民間部門の両方に適用されます。

ISO / IEC 27001

ISO/IEC 27001 は、サイバーセキュリティの課題に特に対処するための情報セキュリティ管理に重点を置いています。この規格は、データ保持期間中にすべての企業データの機密性と整合性を確保するための情報セキュリティ管理システムを実装するためのフレームワークを提供します。これには、財務情報、従業員情報、知的財産、および第三者によって管理されるデータが含まれます。

この規格には、組織向けの以下のガイドラインが含まれています。

  • サイバー脅威に対する耐性を向上
  • 集中管理されたデータストレージフレームワークを提供する
  • セキュリティ脅威への対応
  • データの機密性、可用性、整合性を保護する

必須ではありませんが、ISO/IEC 規格の認証は、組織がデータの保持と管理を効率化する上で大きなメリットをもたらし、また、特定のデータ処理基準を満たしていることを顧客に保証します。

データ保持に関する業界規制

業界によってデータのニーズは異なるため、機密情報の収集方法や管理方法も異なります。ほとんどの業界には幅広いデータ処理ガイドラインが適用されますが、金融、医療、製薬業界に非常に具体的に適用されるデータ規制もあります。

業界規制
出典: シャッターストック

ペイメントカード業界のデータセキュリティ標準 (PCI-DSS)

PCI セキュリティ標準は、デビット カードおよびクレジットカード所有者のデータをデータ盗難や詐欺から保護するための技術的および運用上の要件です。この標準は、カード所有者のデータを保管、処理、または送信する個人または企業に適用されます。PCI-DSS には、トランザクション処理で使用されるアプリケーションおよびデバイスに関する規制が含まれています。

監査ログ、ログ管理、ログ保持はすべて標準要件の重要な側面です。監査ログは少なくとも 12 か月間保持する必要があります。コンプライアンスを維持し、保存されたデータの安全性を確保するためのその他のベスト プラクティスには、ファイアウォールのインストール、エンドツーエンドの暗号化、ウイルス対策ソフトウェア、および厳格なアクセス監視が含まれます。

カリフォルニア 消費者のプライバシー 法(CCPA)

CCPA は、カリフォルニア州で事業を行う企業に関係します。具体的には、年間総収益が 25 万ドル以上で、カリフォルニア州の住民 100,000 万人以上の個人情報を処理している企業、または収益の少なくとも 50% が住民の個人情報の販売による企業に適用されます。

CCPA は、個人情報の共有のオプトアウトや収集データの削除など、企業が収集する情報に対する消費者のコントロール権を付与します。また、企業が収集する情報を知る法的権利を消費者に付与し、収集した情報の使用を制限します。

サーベンス・オクスリー法 (SOX)

SOX は、会計スキャンダルや投資家の金銭的損失を防ぐために、企業の財務活動の記録と報告に関する法律です。この法律は、米国のすべての上場企業に適用されます。

SOX では、監査およびレビュー文書をレビューまたは監査の結論後 7 年間保管することが義務付けられています。場合によっては、法律により永久的な記録保管が義務付けられています。

正確な財務報告を維持するためには、内部データ セキュリティ システムと財務記録の管理が重要です。法律では、会社の健全な内部財務構造の確認を含め、情報の正確性を独立した監査人が検証することが義務付けられています。

医療保険の相互運用性と説明責任に関する法律(HIPAA)

この法律は医療記​​録のみに適用されるものではなく、対象事業体やビジネス関係者に関連するその他のさまざまな HIPAA 関連文書のデータ保持規制も規定しています。医療記録を特に扱っていない場合でも、収集したデータが HIPAA の管轄に該当するかどうかを確認することが重要です。

HIPAA 規制では、対象事業体およびビジネス アソシエイトは指定された文書を最低 6 年間保持することが義務付けられています。保健福祉省 (HHS) の公民権局 (OCR) は、対象事業体またはビジネス アソシエイトの監査中にいつでも文書を要求する場合があります。

食品飲料業界における記録管理 (FDA)

食品・飲料事業がサプライ チェーンのどの部分で事業を展開しているかに応じて、適切な業界慣行を証明する文書を法的に記録、維持、保持する必要がある場合があります。文書は次のような内容に関連する場合があります。

  • 製造業
  • 処理
  • 取り扱いと梱包
  • 配布と保管
  • 受領とサプライヤー
  • バイヤー
  • 内部活動

これらの記録により、不規則性や食品の安全性に関する懸念が表面化した場合に追跡が容易になります。

製薬業界における文書保管

製薬会社は、すべてのバッチの製造、処理、梱包、社内活動、流通、購入者に関する文書を法的に維持および保管する必要があります。これにより、不規則な事態が発生した場合でもバッチを追跡できます。

これらのバッチ製造、管理、および配布記録は、バッチ有効期限後少なくとも 1 年間は保持する必要があります。有効期限のない市販薬 (OTC) のデータ保持期間は、バッチ配布後 3 年間です。

臨床試験およびデモバッチの推奨保存期間は、ライフサイクルに 1 年を加えた期間です。ライフサイクルとは、ユーザーの要件と設計から実現、認定、保守までのプロセス全体を指します。トレーニング記録は 7 年間保存する必要があります。

製薬業界における文書保管
出典: シャッターストック

SOLIXでデータ保持コンプライアンスを簡素化

どのような業界であっても、データ保持コンプライアンスを維持することは困難な場合があります。しかし、適切なデータ管理ソリューションを導入することで、コンプライアンスとデータ アクセス性を大幅に向上させることができます。

SOLIXCloud は、企業のデータ保持を収集、管理、統制するマルチクラウド プラットフォームです。このプラットフォームは安全で、コンプライアンスに準拠しており、コスト効率に優れています。自動化されたロールベースの制御により、データへのアクセスを許可された関係者に制限し、関連する従業員や法務担当者がいつでもどこからでもデータを利用できるようにします。

今日連絡してください コストを節約し、データ保持規制のコンプライアンスを向上させながら、データ管理を簡素化および合理化する方法をご確認ください。

クラウド&プロダクトマーケティング担当副社長

関連記事