私たちの社会と仮想世界の相互のつながりが強まっていることを背景に、米国の連邦/州政府はデータのプライバシー強化を目的とする法律を施行しています。
データのプライバシーとは?
データのプライバシーとは、個人が自分の個人情報の収集、使用、および保存方法を自分で制御できることを意味します。最近のデータ・プライバシー法の多くは、消費者の個人情報に対する権利の維持や強化に向けられています。
データ・プライバシー法
データ・プライバシー法は、地域、州、連邦または国際レベルでの施行が可能です。通常地方自治体は、州または連邦政府に消費者のプライバシー保護の責任を委ねます。
データ・プライバシーが重要な理由
ユーザ・データのプライバシーは、ユーザの個人情報が根拠のない目的で収集または使用されないように保護するものであるため、非常に重要です。
データ・プライバシーに関する法規制がなければ、組織は理論上、悪質な手法を通じて消費者のデータを入手し、最高入札者に販売できることになります。簡単に言うと、データ・プライバシー法は、消費者の個人データを活用する方法の説明責任を企業に負わせるものです。
企業にとって、データ・プライバシー法を理解することは極めて重要です。こうした法規制には、どのような情報が収集可能であるか、収集した情報をどのように活用できるのかが規定されているからです。
ヨーロッパのデータ・プライバシー法
欧州連合 (EU) は、EU居住者のプライバシーを保護するために常に熱心に取り組んでいます。EUは、どのような種類のデータ・プライバシー法も世界に先駆けて制定しています。
EU初のこの種の法律は1995年に施行され、欧州データ保護指令として知られています。この文書は、一般データ保護規則 (GDPR) に取って代わりました。
GDPRとは?
一般保護規則 (GDPR) とは、これまでで最も厳格なデータ・プライバシー法の1つです。この法規制は、EU内のすべての消費者に適用されます。
GDPR独自の特徴は、EUに拠点を置く企業が消費者データを取り扱う方法を規制するだけではなく、EU居住者に製品を販売するEU外部の企業にも適用される点です。
GDPRは、消費者の複数の権利を確立し、データ収集者の個人データのプライバシー保護責任を規定しています。
米国の プライバシー法
GDPRによるペナルティの方が、米国のどのプライバシー法よりも厳しいものですが、米国の連邦政府と各州も消費者の権利の保護に向けた複数の法律を施行しています。著名な法律の例を以下に示します。
グラム・リーチ・ブライリー法 (GLBA)
GLBAは、ローン・サービスなどの消費者金融商品のプロバイダに、消費者の個人データがどのように共有されるかを説明することを義務付けています。この法律は金融商品による消費者データの使用を制限するものではありませんが、消費者にはオプト・アウトする権利があります。
電子通信プライバシー法 (ECPA)
ECPAは、雇用主が従業員のコミュニケーションを監視する方法を制限するガイドラインを定めています。ただし、これらの規則は非常に広い範囲に適用されます。ECPAは、政府機関による電子デバイスまたは電話回線での会話の盗聴も禁止しています。
ただしECPAは、政府または非政府機関がサーバを介して収集したデータやクラウドベースの文書を使用することは禁じていません。
連邦取引委員会法 (FTC)
連邦取引委員会法の規定のもと、FTCは独自のプライバシー・ポリシーに違反するWebサイトやモバイル・アプリケーションに対して措置を講じることができます。この法律のコンプライアンスを維持するためには、自社のプライバシー・ポリシーの見直しや更新を定期的に行う必要があります。
カリフォルニア州消費者プライバシー法 (CCPA)
カナダ消費者プライバシー保護法 (CPPA) などのカナダのデータ・プライバシー法と混同されがちですが、カリフォルニア州消費者プライバシー法 (CCPA) は、存在する中で最も包括的な州のデータ・プライバシー法です。
特にこの法律は、企業が収集する消費者に関するデータとその取り扱いについて、他の法律よりもはるかに強力な制御を消費者に提供します。
バージニア州消費者データ保護法 (VCDPA)
バージニア州の消費者保護法は、一部の企業に、消費者に自分の個人情報へのアクセスを提供することを義務付けています。具体的には、企業が収集した消費者に関するデータを確認する権利を、消費者本人に提供する必要があります。消費者はデータの消去を要求することもできます。
コロラド州プライバシー法 (ColoPA)
コロラド州は、カリフォルニア州とバージニア州に続いてプライバシー法を制定しました。コロラド州プライバシー法 (ColoPA) は、消費者に、企業データベースに保管されている自分に関するデータのコピーにアクセスする権利、このコピーを修正、受信、および削除する権利を提供します。消費者は、特定の的を絞った広告をオプト・アウトすることもできます。
データ・プライバシー・コンプライアンス戦略
企業は、絶えず変化するデータ・プライバシー環境で舵を取っていくために、包括的なコンプライアンス戦略を実践する必要があります。この戦略を立てるには、以下を行う必要があります。
全社共通のデータ・プライバシー目標を設定する
全社員の認識が一致していれば、データ・プライバシー戦略の効果ははるかに高まります。したがって、いくつかの達成可能なデータ・プラバシー目標を選択し、全社にこれらの目標を公表する必要があります。なぜデータ・プライバシーが重要なのかを説明し、スタッフ・メンバーからフィードバックを収集します。このアプローチは、従業員の自発的な取り組みの強化に役立ちます。
リスクを特定する
戦略を策定するときは、組織で直面している最大のコンプライアンス・リスクを特定することが重要です。
自社に適用されるデータ・プライバシー法を特定し、それらの法律の規定と自社の現在のプライバシー・ポリシーを比較してみることをお勧めします。これにより、ポリシーの欠陥や脆弱性を体系的に修正し、組織を民事訴訟から保護することができます。
データ・プライバシー法に関するトレーニングを実施する
企業は、データ・プライバシー法に関するトレーニングをスタッフに提供する必要があります。スタッフに法律の変更を通知するとともに、法律に準拠しないことによる影響も説明します。
法律に準拠する透明性の高いプロセスを開発する
リスクを特定し、明確な目標を定めたら、法律に準拠する透明性の高いプロセスを導入します。最高の透明性を確保することで、組織をデータ・プライバシー法違反から保護するために抑制と均衡を図るシステムが生まれます。
データ・プライバシー法コンプライアンスの取り組みのリーダーを任命する
データ管理とクラウド保護のベスト・プラクティスを熟知しているスタッフを選定し、 コンプライアンスの取り組みのリーダーとしての任務を与えます。組織の規模に応じては、データ・プライバシー戦略を効率的に実践できるように、このリーダーにコンプライアンス専門家のチームを作る権限を与える必要があります。
一般的なデータ収集作業にプロアクティブなデータ保護プラクティスを組み入れる
情報収集作業にデータ・プライバシー・プラクティスを組み入れることで、違反を犯すリスクを最小限に抑えられます。このアプローチによって、民事訴訟によるペナルティに対する組織の保護をさらに強化しながら、データ・プライバシー戦略の効力を高めることができます。
安全なクラウド・ストレージ・ソリューションを導入する
Seagate Lyve Cloudのようなクラウド・ストレージ・ソリューションは、組織のデータ・プライバシーとセキュリティ両方の強化に役立ちます。Seagateのストレージ・ソリューションは、拡張性と俊敏性に優れた、Seagateの厳格なセキュリティ基準に従って設計されています。今すぐSeagateのクラウド・ストレージ製品を活用して貴重な企業データを保護してください。
