データプライバシーについて知っておくべきこと
国連によると、データとプライバシー保護に関する法律を制定している国は、世界で137か国におよぶと報告されています。これは世界の国のほぼ71%に相当します。その他の9%が法案を起草しており、世界の80%で、個人情報の保護対策に積極的に取り組むことが企業に義務付けられています。
常に個人情報が収集され、それがコモディティ化されている世界では、個人のデータを保護する権利はこれまで以上に必要とされています。さまざまな政府機関がこのような要求があることを認識しており、企業には、より責任ある行動が求められています。
世界の地域における最新のプライバシー法と、フィジカルセキュリティデータを保護および安全に保つためにできることをご紹介します。
世界最新のプライバシーの法律について
EU一般データ保護規則 (GDPR)は、ヨーロッパ初の公式データ保護法の1つでした。この規則が制定されてから、それに続く形で、国、州、地域でも、ユーザーが自分のデータに対して持つ権限を強化するために独自の法律が制定されています。また、組織がデータの利用方法について説明する責任を負うことも要求されるようになりました。
世界のプライバシーに関する法律は拡大する一方です。データ保護とプライバシー義務を遵守するためにやるべきことはすべてやっていると感じていたとしても、法整備は絶えず進んでいるため、最新の要件に従うことが重要です。
変更されたプライバシーに関する法律の最新情報をいくつかご紹介します。
タイでは、2019年に制定された個人情報保護法が2021年6月に施行されました。これは、GDPRの影響を大きく受け、データプライバシーに焦点をあてたタイで最初の法律であり、この法律に違反した組織は、世界での売上高の最大4%、さらには懲役刑が科されることがあります。
主な義務には、データ処理の際にユーザーから同意を得ること、個人情報への不正アクセスを防止すること、高いプライバシー基準が定められた国にのみデータを転送すること、およびユーザーの権利を尊重することが含まれます。
カナダでは、現在、法案C-27として知られる2022年デジタル憲章実施法案 (DCIA) により、既存の個人情報保護および電子文書法 (PIPEDA) の改革が提案されています。これには、消費者プライバシー保護法 (CPPA)、個人情報およびデータ保護審判法 (PIDPTA)、および人工知能およびデータ法 (AIDA) が含まれます。
現在までのところDCAI 2022の審議が進んでいますが、改正が行われるとカナダの民間部門のプライバシー法に影響を与え、重要な人工知能 (AI) の開発および展開に新しい規則が適用されることになります。
地域の中でも先進的なケベック州では、包括的な独自のフレームワークである、個人情報保護に関する立法条項の近代化法が制定されました。企業の場合、この新しい条項には、データ保護責任者の任命、ケベック州情報プライバシー委員会 (CAI) への機密インシデント報告、生体認証技術を実装する前に CAI へ通知することが求められるなど、さまざまな規定が含まれています。
米国では、カリフォルニア州消費者プライバシー法が国内初の最も先進的な法律でした。しかし、2023年1月に施行される予定の新しいカリフォルニア州プライバシー権法 (CPRA) の下では、すでに改正と拡大が提案されています。
ユタ州、コロラド州、コネチカット州、バージニア州、ペンシルベニア州、ニュージャージー州、オハイオ州などの他の州も、すでに独自の法律が施行されているか、現在新しいプライバシー規制を可決手続き中のいずれかです。
最近では、米国で米国データプライバシー保護法 (ADPPA) の見直しが行われました。これは、連邦政府が義務付けた史上初のデータプライバシーフレームワークを国に提案することを目的としています。
英国では、データ保護法の要となっているのが英国GDPRと2018年のデータ保護法です。しかし、2021年後半、英国政府は「データ:新たな方向性 (Data: A new direction)」と呼ばれる正式な評議会の下、既存の法律の再評価を開始しました。その数か月後の2022年6月には、次のような声明により、近い将来、英国のプライバシー法の改革が予定されていることが発表されました。
「評議会で提案された改革は、英国がEU以外における規制への取り組みを再形成し、新たな規制の自由化によって可能性を提供します。」
以上は、国際的なデータプライバシー法の改正の一部にすぎません。ニュージーランドや南アフリカ、バーレーン、インドなど、世界のあらゆる国々がプライバシーの問題に真剣に取り組み、企業が常に把握しておくべき改定が行われています。
組織のフィジカルセキュリティデータを保護する最初のステップ
セキュリティチームが人と資産を保護するためには、個人情報の収集が必要になる場合があります。個人情報の収集が必要になるのは、ビデオ監視、チェックイン・キオスク、生体認証テクノロジーを備えたセキュリティチェックポイント、ナンバープレート自動認識、侵入検出、追跡システムを使用する場合です。
データ保護およびプライバシーの法律にはそれぞれ固有の要件がありますが、定められたデータの使用とポリシーを評価することが重要です。この評価は、次の質問に回答していくことで実行できます:どのような種類のデータを収集していますか? データはどのように収集していますか? データはすべてどこに保存されていますか? データにアクセスするのは誰ですか? データを共有する相手とその方法とは?
上記の質問を検討する際に、優先的に対処すべきことを次に説明します。
-
データ保護担当者を雇用し、データの慣行とポリシーを評価し、規制に準拠しているかを監視する。
-
業界および政府の最新のプライバシー要件を常に把握し、フィジカルセキュリティデータの管理方法、送信方法、保存方法の基準に準拠していることを確認する。
-
強力な暗号化機能などの内蔵型のサイバーセキュリティツールを活用して、転送中および保存中のデータのセキュリティを保護する。
-
データにアクセスできるユーザー、アクセス権を管理できるユーザーを完全に制御かつ可視化できるセキュリティ製品を選択する。
-
個人のプライバシーを尊重しつつ、フィジカルセキュリティ情報を監視・共有するために、映像の匿名化ツールを導入する。
はじめからコンプライアンスを念頭に入れて設計する
新たにフィジカルセキュリティソリューションを購入する場合は、プライバシー・バイ・デザイン (Privacy by Design)として知られる、プライバシー対策が組み込まれたソリューションをはじめから検討することをお勧めします。
プライバシーとサイバーセキュリティは、組織の既定の運用として組み込まれている必要があります。フィジカルセキュリティソリューションが、初期段階からプライバシーを念頭に置いて設計されていれば、個人のプライバシーと組織のフィジカルセキュリティのどちらを保護するかの選択を迫られることはありません。
「ゼロサム (是非) 論でセキュリティとプライバシーに取り組む人は多くいます。1つの領域でプラスの利益を得ることがあっても、他の領域ではマイナスになるという考え方です。このどちらか一方、または勝ちか負けかのゼロサムモデルはもはや時代遅れですこれは捨て去る必要があります。プライバシーという用語は、セキュリティそのものよりもはるかに広い範囲の保護を前提としています。徹底した強力なセキュリティ基盤がなく、日常的にハッカーの危険にさらされる今の時代には、完全な保護対策がなければプライバシーは守れません。
- Ann Cavoukian博士(グローバルプライバシー&セキュリティ・バイ・デザインのエグゼクティブディレクター)
データプライバシーとサイバーセキュリティは密接に関連している
本年度のフィジカルセキュリティの状況レポートによると、改善されたサイバーセキュリティ戦略を2022年に実施したと述べた回答者は、全体の49%でした。
多くの組織がすでにサイバーセキュリティとプライバシー対策を導入していますが、サイバーセキュリティに関する懸念は依然として増えており、新しいテクノロジーの導入が躊躇される最大の要因になっています。回答者の3分の2弱が、サイバーセキュリティ関連のツールは2023年も引き続き注目されるだろうと述べています。
次にサイバーセキュリティを強化するツールと戦略をいくつか紹介します。
統一されたセキュリティ戦略への投資: 統合されたプラットフォームを使用すると、サイバーセキュリティの確保やシステムの健康状態の把握のために、異なるソリューションを確認するための無駄な時間を省くことができます。単一のインターフェイスを介してすべてのシステムから継続的にデータを制御できます。
ビデオとデータの保存を自動化する: 機密情報を必要以上に長く保持することは、多くの新しいプライバシー法に違反し、組織を不必要なリスクにさらします。その代わりに、保存スケジュールを自動化して、ファイルの保存期間を追跡し、確実にポリシーに準拠できるようにします。
ソフトウェアとデバイスのメンテナンスを簡素化する: ソフトウェアとファームウェアの更新を通知するセキュリティソリューションに投資することで、脆弱性に対する最新の防御策を常に講じることができます。また、パスワードの自動ローテーションを促すシステムを導入することは、サイバーレジリエンスの強化につながります。
プライバシープロテクターとは?
Security CenterのKiwiVision™ プライバシープロテクターモジュールを利用すると、ビデオ監視をモニタリングまたは共有するときに個人のプライバシーを保護できます。
プライバシープロテクターは、ライブ映像や録画映像に映り込んだ個人を動的に匿名化します。こうすることで、オペレータは必要なものだけを確認し、不必要なプライバシーの侵害を防げます。権限を使用すれば、どのオペレータが元の映像を閲覧できるかを簡単に制御できます。
インシデントが発生した場合、特定のアクセス権を持つオペレータは、Security Centerのプラットフォームから、匿名化されていない元のビデオをすぐに表示できます。セキュリティ証明書を使用して暗号化し、元の録画への不正アクセスを防ぐこともできます。