UNCTADの最新データによれば、現在137か国がデータとプライバシーの保護を法制化しており、これは世界の国の約71%に相当します。また、9%の国が法案作成に取り組んでおり、これは約80%の国が個人データ保護の規制に積極的に関わっていることを意味します。
ガイド
データ保護とプライバシーが重視される理由
常に個人情報が収集され、それが商品化されている世界では、個人のデータを保護する権利がこれまで以上に必要です。さまざまな政府機関がこのような要求があることを認識しており、組織には、より責任ある行動が求められています。
個人データの責任感を持った使用を確実にする上で、規制は重要です。規制は個人情報の窃取、金融詐欺、その他の有害な行為の危険性を軽減します。これらの規則に従うことにより、組織は人々と信頼関係を構築することができ、より安全な環境が生まれます。また、これらの法律は個人の基本的な権利を支援し、個人情報を保護します。
2025年版の物理セキュリティの状況レポートでは、67%ものエンドユーザーが、その組織が業種規制の影響を受けていると答えました。これは、2023年の調査では13%だったのと比較して大きな変化です。
世界のさまざまな地域における最新のプライバシー法と、フィジカルセキュリティデータを保護された状態で保つためにできることについて説明します。
世界で最新のプライバシーの法制化について
一般データ保護規則 (GDPR) は、ヨーロッパ初の公式データ保護法の1つでした。この規則が制定されてから、それに続く形で、国、州、地域でも、ユーザーが自分のデータに対して持つ権限を強化するために独自の法制化が行われています。また、組織がデータの利用方法について説明責任を負うことも要求されるようになりました。
世界のプライバシーに関する法律は拡大する一方です。データ保護とプライバシー義務を遵守するためにやるべきことはすべてやっていると感じていたとしても、法制化は絶えず進んでいるため、最新の要件に従うことが重要です。
プライバシーに関する最新の法制化をいくつかご紹介します。
タイでは、2019年の個人データ保護法が2022年6月1日に完全に発効しました。これは、GDPRの影響を大きく受け、データプライバシーに焦点を当てたタイで最初の法律であり、この法律に違反した組織は、世界での売上高の最大4%、さらには懲役刑が科される可能性があります。
主な義務には、データ処理の際にユーザーから同意を得ること、個人情報への不正アクセスを防止すること、高いプライバシー基準が定められた国にのみデータを転送すること、およびユーザーの権利を尊重することが含まれます。
カナダでは、現在、法案C-27として知られる2022年デジタル憲章実施法案 (DCIA) により、3つの法制化で既存の個人情報保護および電子文書法 (PIPEDA) の改革が提案されています。これには、消費者プライバシー保護法 (CPPA)、個人情報およびデータ保護審判法 (PIDPTA)、および人工知能およびデータ法 (AIDA) が含まれます。
現在までのところDCAI 2022の審議が進んでいますが、改正が行われるとカナダの民間部門のプライバシー法に影響を与え、重要な人工知能 (AI) の開発および展開に新しい規則が適用されることになります。
地域の中でも先進的なケベック州では、包括的な独自のフレームワークである、個人情報保護に関する立法条項の近代化法が制定されました。この新しい条項には、データ保護責任者の任命、ケベック州情報プライバシー委員会 (CAI) への機密インシデント報告、生体認証技術を実装する前にCAIへ通知することが求められるなど、組織に対するさまざまな規定が含まれています。
米国では、カリフォルニア州消費者プライバシー法が国内初の最も先進的なプライバシーの法制化でした。その拡大版として、カリフォルニア州プライバシー権法 (CPRA) が2023年1月に正式に発効し、消費者のプライバシー保護がさらに強化されます。
ユタ州、コロラド州、コネチカット州、バージニア州、ペンシルベニア州、ニュージャージー州、オハイオ州などの他の州も、すでに独自の法律が施行されているか、現在新しいプライバシー規制を可決手続き中のいずれかです。
最近では、米国で米国データプライバシー保護法 (ADPPA) の見直しが行われました。これは、連邦政府が義務付けた史上初のデータプライバシーフレームワークを国に提案することを目的としています。
ヨーロッパでは、GDPRと一緒にネットワークおよび情報システム指令 (NIS2) が元のNIS1指令を拡張し、サイバーセキュリティ要件を強化しています。これは重要なインフラと見なされる組織に適用され、境界セキュリティ、建物へのアクセス、訪問者管理、災害復旧などの領域を網羅しています。
EUは人工知能法 (EU AI法) も施行しており、これはAIシステムの開発と使用を監視するために設計された法律です。この法制化は、EU内のAIが安全、透明、追跡可能、公正、およびサステナブルであることを保証することを目指しています。この法律では、AIアプリケーションがリスクレベルに分類され、コンプライアンスを順守しない場合には、最高3500万ユーロまたは世界全体の収益の7%の罰則が科せられます。
英国では、データ保護法制化の要となっているのが英国GDPRと2018年のデータ保護法です。しかし、2021年後半、英国政府は「データ:新たな方向性 (Data: A new direction)」と呼ばれる正式な評議会の下、既存の法律の再評価を開始しました。数か月後の2022年7月に、データ保護およびデジタル情報法案 (英国データ改革法案) が初めて英国議会に提出されました。この法案は、データ保護法を簡素化し、EU離脱後の英国のニーズにより沿ったものにすることを目指し、かつ個人データの保護を重視しています。現在は法制化手続き中で、英国内で組織がデータを扱う方法に大きな変化をもたらす可能性があます。次のような声明により、近い将来、英国のプライバシーの法制化改革が予定されていることが発表されました。
「評議会で提案された改革は、英国がEU以外における規制への取り組みを再形成し、新たな規制の自由化によって可能性を提供します。」
以上は、国際的なデータプライバシー法の改正の一部にすぎません。ニュージーランドや南アフリカからバーレーン、インドまで、世界のあらゆる国々がプライバシーの問題に真剣に取り組み、組織が常に把握しておくべき改定が行われています。
ブログ
データ保護の基本原理
データの最小化、ユーザーの同意、および透明性がGDPRやCCPAのようなグローバルなデータ保護法の鍵です。これらの規則は、企業が必要な個人情報だけを収集し、データを使用する前に個人から明確な同意を得て、データを扱う方法について透明性を保つことを保証します。これらのガイドラインに従えば、組織はプライバシーを保護し、法的要件を満たし、罰金や法的な異議申し立てのようなリスクを回避できます。GDPRとCCPAでは、信頼関係とコンプライアンスを維持するのに役立つこれらの慣行の明確な標準が規定されています。
「プライバシーおよびデータ保護法を順守せず、処理あるいは保管中の個人データを保護するために必要な措置を採用しない企業は、最後には顧客、従業員、パートナーの信頼を失い、長い目で見れば経済的損失につながります。」
–コンサルタント (Genetec社2025年版の物理セキュリティの状況レポートより)
組織のフィジカルセキュリティデータを保護するには
セキュリティチームが人と資産を保護するためには、個人情報の収集が必要になる場合があります。個人情報の収集が必要になるのは、ビデオ監視、チェックイン・キオスク、生体認証テクノロジーを備えたセキュリティチェックポイント、ナンバープレート自動認識、侵入検出、追跡システムを使用する場合です。
データ保護およびプライバシーの法律にはそれぞれ固有の要件がありますが、定められたデータの使用とポリシーを評価することが重要です。
これには次の点を考えることが含まれます。
- どんな種類のデータを収集しているか?
- データはどのように収集されているか?
- データはどこに保存されているか?
- データにアクセスするのは誰か?
- データを共有する相手とその方法は?
プライバシーのコンプライアンスについての6つのヒント
 |
最新の業界および政府のプライバシー要件を常に把握し、フィジカルセキュリティデータの管理方法、送信方法、保存方法の標準に準拠していることを確認する。 |
 |
強力な暗号化機能などの内蔵型のサイバーセキュリティツールを使用して、転送中および保存中の両データのセキュリティを保護する。 |
 |
データにアクセスできるユーザー、アクセス権を管理できるユーザーを完全に制御かつ可視化できるセキュリティ製品を選択する。 |
 |
個人のプライバシーを尊重しつつ、フィジカルセキュリティ情報を監視・共有するために、映像の匿名化ツールを導入する。 |
 |
安全なクラウドサービスや自動化コンプライアンスシステムのようなプライバシーツールを使用して、変化する法律に準拠できるようにする。 |
 |
データ保護責任者を任命し、データ慣行およびポリシーについてのコンプライアンスの評価と監視を行う。 |
はじめからコンプライアンスを念頭に入れて設計する
新たにフィジカルセキュリティソリューションを購入する場合は、プライバシー・バイ・デザイン (Privacy by Design)として知られる、プライバシー対策が組み込まれたソリューションをはじめから検討することをお勧めします。
プライバシーとサイバーセキュリティは、組織の既定の運用として組み込まれている必要があります。フィジカルセキュリティソリューションが、初期段階からプライバシーを念頭に置いて設計されていれば、個人のプライバシーと組織のフィジカルセキュリティのどちらを保護するかの選択を迫られることはありません。
「ゼロサム (是非) 論でセキュリティとプライバシーに取り組む人は多くいます。1つの領域でプラスの利益を得ることがあっても、他の領域ではマイナスになるという考え方です。このどちらか一方、または勝ちか負けかのゼロサムモデルはもはや時代遅れです。これは捨て去る必要があります。プライバシーという用語は、セキュリティそのものよりもはるかに広い範囲の保護を前提としています。徹底され強力なセキュリティ基盤がなければ、日常的にハッカーの危険にさらされる今の時代には、完全な保護対策なしにプライバシーは守れません。」
- Ann Cavoukian博士 (グローバルプライバシー&セキュリティ・バイ・デザインのエグゼクティブディレクター)
データプライバシーとサイバーセキュリティは密接に関連している
2025年版の物理セキュリティの状況レポートによれば、71%の回答者がサイバーセキュリティのベストプラクティスについてユーザーを教育していると述べ、44%が2024年にセキュリティインフラを強化すると報告しました。多くの組織がすでにサイバーセキュリティとプライバシー対策を導入していますが、サイバーセキュリティに関する懸念は増大し続けており、新しいテクノロジーの導入が躊躇される最大の要因になっています。事実、IT関係の47%の回答者は2024年にサイバーセキュリティツールの導入を優先させました。
次にサイバーセキュリティを強化するツールと戦略をいくつか紹介します。
統一されたセキュリティ戦略への投資: 統合されたプラットフォームを使用すると、サイバーセキュリティの確保やシステムの健康状態の把握のために、異なるソリューションを確認するための無駄な時間を省くことができます。単一のインターフェイスを介してすべてのシステムから継続的にデータを制御できます。
ビデオとデータの保存を自動化する: 機密情報を必要以上に長く保持することは、多くの新しいプライバシー法に違反し、組織を不必要なリスクにさらします。その代わりに、保存スケジュールを自動化して、ファイルの保存期間を追跡し、確実にポリシーに準拠できるようにします。
ソフトウェアとデバイスのメンテナンスを簡素化する: ソフトウェアとファームウェアの更新を通知するセキュリティソリューションに投資することで、脆弱性に対する最新の防御策を常に講じることができます。また、パスワードの自動ローテーションを促すシステムを導入することは、サイバーレジリエンスの強化につながります。
プライバシープロテクターのようなプライバシーツールを加える
Security CenterのKiwiVision™ プライバシープロテクターモジュールを利用すると、ビデオ監視をモニタリングまたは共有するときに個人のプライバシーを確保できます。
プライバシープロテクターは、ライブ映像や録画映像に映り込んだ個人を動的に匿名化します。こうすることで、オペレータは必要なものだけを確認し、不必要なプライバシーの侵害を防げます。権限を使用すれば、どのオペレータが元の映像を閲覧できるかを簡単に制御できます。
インシデントが発生した場合、特定のアクセス権限を持つオペレータは、Security Centerのプラットフォームから、匿名化されていない元のビデオをすぐに表示できます。セキュリティ証明書を使用して暗号化し、元の録画への不正アクセスを防ぐこともできます。
