GDPRについて知っておくべきこと:それがビジネスにどのように影響するか

公開: 2018-05-28

gdpr

GDPRは、オンラインの権利にとって大きな飛躍です。 それは、個々のデータを安全に保つことだけでなく、企業や企業がデータ漏洩の可能性に責任を負うことでもあります。

では、これはあなたのビジネスにどのように影響しますか? また、EUを拠点とする企業や加盟国の一部ではない場合、なぜそれを気にする必要があるのでしょうか。 この記事では、GDPRに関するこれらすべての質問を見ていきます。

GDPRとは何ですか?

私たちはインターネットとそのすべての容量を日常的に使用していますが、共有している個人データの量を誰もが知っているわけではありません。

私たちはセキュリティ違反の増加を目の当たりにしており、密室で起こっていることが明らかになりつつあります。 Fast Guard ServiceArmedSecurityなどの専門的なセキュリティサービスを雇う必要があります。 今週、数百万人のユーザーが個人情報を共有したとされるFacebookクイズを介して、さらに別のデータ侵害が発生しました。

EU一般データ保護規則(GDPR)は、すべてのEU市民と居住者のデータプライバシーを保護することを目的とした新しい法律です。 データ保護法を調和させることにより、国際ビジネスの規制環境を簡素化することを目的としていますその加盟国の間で。 -プレスクーター

一般データ保護規則は、顧客データを安全に保つために施行されています。 この規制は、2016年4月に欧州連合によって最初に採択され、2018年5月25日に施行されます。企業は、あらゆる種類の消費者データを確実に保護する必要があります。 これらのタイプのデータには次のものがあります。

  • 名前、住所、ID番号などの基本情報
  • 場所、IPアドレス、Cookieデータ、RFIDタグなどのWebデータ
  • 健康および遺伝データ、生体認証データ、人種または民族データ
  • 政治的意見と性的指向

どの会社が影響を受けますか?

EU加盟国内の欧州市民に関する個人情報を取得する250人以上の従業員を抱えるすべての企業は、GDPRに準拠する必要があります。 これは、欧州連合内にビジネスプレゼンスがない場合でも当てはまります。

従業員が250人未満であるが、データ処理がデータ主体の権利と自由に影響を与える場合、または特定の種類の機密性の高い個人データが含まれる場合も、準拠する必要があります。 このプロセスの目的は、お客様が同意なしに個人情報を共有することから保護することです。

組織はまた、GDPRに基づく権利を顧客に通知し、サードパーティのプロセッサがGDPRに違反していないことを保証する責任があります。 サイバー攻撃や偶発的なリークの形でセキュリティ違反が発生した場合、会社は72時間以内に当局に警告する必要があります。

サードパーティデータの意味

サードパーティのデータプロセッサとは、コントロールに代わって個人を特定できる情報を処理するエンティティを指します。 コントローラは、データの処理方法とその理由を決定します。

法的に個人を特定できる情報としてカウントされるものは何ですか?

PIIは、特定の個人を識別するために使用できるデータと考えてください。 これには、社会保障番号または識別番号、郵送先または電子メールアドレス、電話番号が含まれ、IPアドレス、ログインID、ソーシャルメディアの投稿、デジタル画像、地理的位置、および行動データにも拡張されています。

あなたの会社のマーケティングプログラムがサードパーティのデータプロセッサ上に構築されている場合は、耳を傾ける必要があります。

あなたはあなたのサードパーティベンダーによって管理される個人データに対して責任があります。 したがって、ベンダーの違反に対する罰則の対象となる可能性があります。

たとえば、 GoogleAnalyticsとAdwordsを利用している場合キャンペーンでは、これらのサービスが悪用されていないことを保証できる必要があります。 サードパーティのパートナーを精査し、それらが準拠していることを確認することがすべてです。

Googleのコンプライアンスを示す現在のビジネスおよびデータコンプライアンスページをご覧ください

世界中の企業にとってなぜそれが重要なのですか?

これがヨーロッパを拠点とする規制であるからといって、それが世界の他の地域に影響を与えないという意味ではありません。 米国の主要企業もこの実装を検討しています彼らはそれがヨーロッパとのそしてヨーロッパでの彼らのビジネスに悪影響を与えることを知っているので最優先事項です。

電子商取引会社を例にとると、ヨーロッパ以外の会社も規制に準拠する必要がある理由は明らかです。 EUを拠点とする1人の顧客にさえ製品を出荷する場合は、GDPRに準拠する必要があります。 これは、その個人がこの法律の下で保護されており、要求された場合にこの人に上記のデータを提供できる必要があるためです。

法律は、個人を特定できる情報(PII)と、データに関連する人物が居住する場所に焦点を当てています。 ヨーロッパの顧客に関するあらゆる種類のPIIデータを持っている人は誰でも、準拠する必要があります。 -PCMag

GDPRに準拠するためのヒント、および非準拠のリスク

会社がデータを収集する方法は、データの使用方法に関連している必要があります。 たとえば、eコマースビジネスを運営している場合、顧客の病歴データを取得するビジネスはありません。

企業がデータを収集する方法とその理由については、透明性が必要です。 これに加えて、損傷や破壊から保護するための明確で実用的なセキュリティ慣行が実施されている必要があります。

これらの規制に従わない企業は、年間収益の4%が没収される可能性があります。 ご想像のとおり、これはすべての企業に非常に損害を与える可能性があります。

準拠する方法

まず、データ保護責任者を任命する必要があります。 この個人は、コンプライアンスのプロセスの管理を担当します。 彼らは、変更を実装し、GDPR監視チームに会社がデータを保護している方法を示す責任があります。

準拠するだけでなく、準拠を維持することも重要です。 物理サーバー、NAS、ディスク、ドライブ、およびネットワークに暗号化方式を採用します。 個人を特定できる情報にアクセスするために、多要素認証を実施する必要があります。

プラグインを利用する

GDPRがWordPressに与える影響を説明するこの貴重なリソースをご覧くださいおよびWordPressユーザー。 Trew Knowledgeは、GDPRに基づいて制定された義務を果たすために、データプロセッサ、コントローラ、およびデータ保護担当者を支援するWordPressのプラグインもリリースしました。

DeleteMeプラグインコンプライアンスを支援するもう1つの優れたツールです。 このプラグインを使用すると、ユーザーはリクエストを取得せずに自分のデータを削除できます。 このボタンは、ユーザーがオプションを認識できるようにホームページに配置できます。

関連性のないデータを処理するプラクティスを切り取り、収集されたデータを常に監視および検証して、時代の先を行くようにします。 また、要求された場合は常に顧客データを削除します。

組織は、継続的なコンプライアンスを確保するために、完全なリスク評価を実施し、パートナー、特にアプリケーションプログラミングインターフェイス(API)を介して接続されているパートナーと協力する必要があります。 -PCMag

GDPRウォッチドッグが中小企業を積極的に狙う可能性はわずかですが、このシステムにすぐに準拠することは、オンラインの権利の将来にとって最善です。 利用可能な拡張機能がないことに注意してください。 GDPRは、2018年5月25日から施行されます。

それが世界的な規制になるのは時間の問題かもしれません。 GDPRに準拠することは、多くの管理とリストラを意味する可能性がありますが、プライバシーを尊重していることを顧客に示すことは常に素晴らしいことです。