Salesforce では、堅牢な個人情報保護およびセキュリティ保護を通じて、お客様の GDPR 遵守を継続的に支援します。2018 年 5 月 25 日に成立した一般データ保護規則 (GDPR) プライバシー法は、欧州連合 (EU) 諸国に住む個人のプライバシーの権利を拡張し、EU 諸国の個人データを販売、追跡、または取り扱うすべての組織に新たな義務を課すものです。
GDPR とは?
GDPR は、急速な技術の発展、グローバリゼーションの拡大、国境を越えた個人情報の流れの複雑化を踏まえ、既存の法規を改定して個人情報の保護を強化することを目的として策定された、EU における包括的なデータ保護法規です。これにより、データ保護の断片化を招いた現行のデータ保護指令は置き換えられ、EU 加盟国に同一に直接効力を有する 1 つの規則が適用されることになります。
GDPR は、EU 居住者の個人情報の収集または使用、保存、転送を含む情報の処理を規制するものです。オンラインアクティビティの追跡を含め、EU 居住者の個人情報を処理する組織は、EU 圏内に拠点があるかどうかに関わらず、この法規の適用を受けます。重要なのは、GDPR の下では、「個人情報」という概念が広範で、特定された、または特定可能な個人 (「データの主体」) に関するすべての情報が適用対象になることです。
セキュリティ対策とレポート要件
組織は、不正な処理や偶発的な開示、アクセス、消失、破損または改ざんから個人情報を保護するために適切な技術的・組織的なセキュリティ対策を講じる義務を負います。使用事例や処理対象の個人情報に応じて、個人情報を保護するためにデータの分離、暗号化、仮名化、匿名化が推奨 (場合によっては必須と) されます。
GDPR によれば、情報管理者はデータ侵害があった場合には、データ主体に対する被害が発生すると思われない場合を除き、できるだけ早急 (侵害を発見してから 72 時間以内) に、各加盟国のデータ保護局に届け出る必要があります。データ主体に対する被害が発生する可能性が高い場合は、情報管理者はデータ主体にできる限り早急にデータ侵害について知らせる必要があります。また、情報処理者もデータ侵害が見つかった場合には、できる限り早急に情報管理者に知らせる義務を負います。
GDPR に対応するために必要なセキュリティ対策
暗号化
必須ではありませんが、GDPR では、個人情報のセキュリティと機密を保護するには暗号化を有効な方法として推奨しています。
仮名化
GDPR では、データのセキュリティと個人の権利を保護するためのリスクベースの対策として、仮名化を使用することを推奨しています。
匿名化
匿名化は、仮名化からさらに一歩踏み込むもので、個人情報を保護するための最も安全な方法です。真の意味で匿名とみなされるためには、以降の処理または他の情報との組み合わせが施された場合でもデータから個人を特定することが不可能でなければなりません。
説明責任
GDPR の下では、情報管理者 (Data Controller) が GDPR の要求事項を遵守して個人情報が管理されるようにする責任を負います。これには、データ保護責任者 (Data Protection Officer) の任命、情報処理者 (Processor) への契約上の義務の賦課、「プライバシーバイデザイン」および「プライバシーバイデフォルト」の原則の適用が含まれます。 さらに、情報管理者は、処理アクティビティの記録の保存やプライバシー影響評価の実施を含む、要件遵守の証拠を示す責任も負います。
EU Trailhead:GDPR とその遵守方法について
「EU のプライバシー法の基本」モジュールを受講して、GDP の原則と GDPR コンプライアンスプログラムを実装する方法について学習してください。
US Trailhead:米国のプライバシー法とその遵守方法について説明します
「US Privacy Law Basics (米国のプライバシー法の基本)」モジュールを受講して、米国のプライバシー保護について学習してください。
カリフォルニア州消費者プライバシー法
カリフォルニア州消費者プライバシー法 (「CCPA」) は、2020 年 1 月 1 日に施行された包括的なプライバシー法です。Salesforce は、個人のプライバシーが郵便番号に依存しないようにするために連邦プライバシー法が必要であると信じていますが、CCPA を米国でのデータ保護要件の形成における進展として、また、Salesforce がプライバシーとデータ保護に対するコミットメントを継続的に強化する機会として歓迎します。