コンプライアンスとフレームワーク
GDPR
別称: 一般データ保護規則, Regulation (EU) 2016/679
定義
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
GDPR(一般データ保護規則、Regulation (EU) 2016/679)は、2018 年 5 月 25 日に施行された欧州連合の包括的なデータ保護法です。組織の所在地にかかわらず、EU または EEA に所在する個人の個人データを処理するすべての組織に適用され、適法性・目的の限定・データ最小化・アカウンタビリティといった原則を定めています。データ主体には、アクセス・訂正・削除・データ ポータビリティ・異議申立てなどの権利が与えられ、管理者はリスクの高い処理についてデータ保護影響評価(DPIA)の実施が求められます。監督機関は、全世界年間売上高の最大 4% または 2,000 万ユーロのいずれか高い額を上限とする行政制裁金を科すことができます。
例
- EU 消費者向けに商品を販売する米国 EC サイトは GDPR に準拠したプライバシー通知を掲示する必要がある。
- フランスの雇用主が従業員のアクセス権リクエストに 1 か月以内に対応する。
関連用語
Data Protection Impact Assessment
Data Protection Impact Assessment — definition coming soon.
CCPA
カリフォルニア州の消費者プライバシー法で、カリフォルニア州住民が事業者の保有する個人情報に対して有する権利を定める米国の州法。
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
HIPAA
個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。