コンプライアンス概要
KiteworksでEU・米国間データプライバシーフレームワークを確実に対応
EU・米国間データプライバシーフレームワークの厳格な要件に準拠
欧州委員会は、EU・米国間データプライバシーフレームワークに関する十分性認定を正式に承認し、EUから米国企業への個人データ移転に対して米国が十分な保護水準を提供していることを確認しました。この決定により、追加のデータ保護措置を講じることなく個人データの安全な移転が可能となります。新たなEU・米国間データプライバシーフレームワークには、欧州司法裁判所が指摘した懸念に対応するための拘束力のあるセーフガードが組み込まれています。これには、米国情報機関によるEUデータへのアクセスを必要かつ相当な範囲に制限することや、EU市民が利用可能なデータ保護審査裁判所(DPRC)の設置が含まれます。前身のプライバシーシールドと比較して、このフレームワークは大幅な改善となっており、DPRCが新たなセーフガードに違反して収集されたデータの削除を命じることも可能です。
ウルズラ・フォン・デア・ライエン欧州委員会委員長は、新たなフレームワークが市民のデータ安全性への信頼を醸成し、EUと米国の経済的な結びつきを強化すると表明しました。米国企業は、詳細なプライバシー義務の遵守を約束することでフレームワークに参加でき、第三者とのデータ共有時にも保護の継続性が確保されます。EU市民は、米国企業によるデータの不適切な取扱いがあった場合、独立した紛争解決や仲裁パネルなどの救済手段を利用できます。さらに、米国の法制度は、特に刑事法執行や国家安全保障目的に限定し、米国当局によるデータアクセスに対するセーフガードを提供しています。米国のセーフガードは、標準契約条項や拘束的企業準則など他の移転手段にも適用され、全般的な大西洋間データフローを促進します。この決定は、EUと米国間の安全なデータフロー促進における重要な一歩であり、両地域の企業に法的確実性を提供し、共通の価値観を再確認するものです。
個人情報保護対策を安全に導入
EU・米国間データプライバシーフレームワークに準拠するには、組織は特定のセキュリティ基準を遵守し、個人情報を作成、維持、利用、または配布する組織は、処理に伴うリスクや個人データの性質を十分に考慮し、紛失、不正利用、不正アクセス、開示、改ざん、破壊から保護するために合理的かつ適切な措置を講じる必要があります。Kiteworksは、米国・EU十分性認定への対応を目指す組織にとって変革的なソリューションです。
データは、移動中および保存中の両方でAES暗号化(256ビット)により保護されます。ファイルはサーバー間の転送時にSSL/TLSおよびAES暗号化で守られます。FIPS 140-2認定のAES-256ビットディスク暗号化と個別ファイル暗号化による二重暗号化層でデータ保護を強化します。KiteworksはDLP製品とシームレスに統合し、コンテンツ認識型の共有制限を実現します。SAML SSO統合や二要素認証などの認証オプションもセキュリティを強化します。ファイル共有、マネージドファイル転送、メールデータにおいてFedRAMP認証を取得した唯一のプラットフォームであり、CMMC 2.0やHIPAAなどのコンプライアンス基準にも対応しています。きめ細かな権限設定、暗号化、監査ログにより、紛失、不正利用、不正アクセス、開示を防止します。Kiteworksの包括的な機能により、データの完全性、可用性、機密性が確保され、コンプライアンス維持が容易になります。
個人情報取得時の明確な通知と、オプトイン時の透明性・保護を実現
フレームワークでは、通知、選択、オンワードトランスファーの責任、アクセス、救済措置、執行、責任に関する複数の追跡要件も定められています。まず、この十分性認定に準拠するには、組織は、個人が初めて個人情報の提供を求められる際、またはそれに準ずるタイミングで、明確かつ目立つ言葉で通知を行う必要があります。Kiteworksは、セキュアなウェブフォームやデータ収集メカニズムを提供し、ユーザーから明示的な同意を取得できます。これらのフォームは、データ収集の目的、利用方法、第三者関与を明示するようカスタマイズ可能です。
フレームワークによれば、組織は、個人情報が第三者に開示される場合や、当初収集または個人による承認後とは大きく異なる目的で利用される場合、個人に選択の機会を提供しなければなりません。センシティブ情報(医療・健康状態、人種・民族、政治的意見、宗教・哲学的信条、労働組合加入、性生活に関する情報など)の場合、第三者への開示や当初収集・承認された目的以外での利用には、個人から明確な同意(オプトイン)を取得する必要があります。Kiteworksは、米国・EUフレームワークのデータコントロール重視に完全対応し、明示的な同意取得やデータカスタマイズのためのセキュアなウェブフォームを提供します。ユーザーは個人情報を安全に他組織へアクセス・転送でき、フレームワークの意図を反映しています。Kiteworksのセキュアなストレージ、監査ログ、コンプライアンスレポートはデータセキュリティ要件に対応。レポート機能はエンドユーザーと管理者双方に有益で、管理コンソールやKiteworksウェブアプリケーションを通じてユーザー活動を可視化します。この包括的ソリューションにより、組織はフレームワークで定められた複雑なデータコントロール要件を満たしつつ、個人が自らのデータに対する権限を維持できるよう支援します。
フレームワークを遵守しようとする組織は、組織が保有する個人情報へのアクセス権を個人に付与し、不正確または通知・選択原則に違反して処理された情報については修正、追加、削除できるようにしなければなりません。Kiteworksは、個人のアクセス権を強力にサポートし、ユーザーが自身の個人データにアクセスできるだけでなく、そのデータがどのように処理されているかについても知見を得られるようにします。プラットフォームはデータポータビリティを強化し、ユーザーが個人情報を安全にアクセス、転送、ダウンロードできる手段を提供します。関連するデータアクセス権限の維持や、リポジトリのセキュアなロック・バージョン管理の実装により、Kiteworksはユーザーが自身のデータを安全かつ制御された方法で利用できることを保証します。
オンワードトランスファーの責任を明確化
組織は、オンワードトランスファー(第三者への個人情報移転)に対する責任も負わなければなりません。第三者が管理者として個人情報を受け取る場合、組織は通知・選択原則に従う必要があります。また、第三者管理者との契約において、当該データは個人が同意した限定的かつ特定の目的でのみ処理されること、受領者が原則と同等の保護水準を提供し、この義務を満たせなくなった場合は組織に通知することを定める必要があります。Kiteworksは、米国・EUフレームワークのデータコントロール原則遵守において重要な役割を果たします。このフレームワークは、個人情報を第三者(管理者または代理人)に移転する際の慎重な取扱いを義務付けています。Kiteworksは通知・選択原則をサポートするだけでなく、組織の遵守を積極的に支援します。プラットフォームは、明示的な同意取得のためのセキュアなウェブフォームやカスタマイズ可能な仕組みを提供し、個人がデータ利用目的や第三者関与を理解できるようにします。
Kiteworksは、組織がオプトインメカニズムを構築し、ユーザーが自ら情報を提供できるようにします。詳細な同意フォームでデータ利用・共有・保持を明示し、ユーザーが十分な情報に基づき選択できるよう支援します。未成年者の同意手続きにも対応し、関連法令への準拠も確保します。
さらにKiteworksは、最小権限アクセス制御モデルによりデータセキュリティを強化します。管理者は個人・役割ごとに細かくアクセスを制御し、不正アクセスからの保護を強化します。ネストフォルダ制御により、コンテンツや権限のきめ細かな管理が可能です。リアルタイム編集、閲覧専用アクセス、ダウンロード制御などの機能は、役割やデータの機密性に応じて調整されます。管理者はドメインブロック、ジオフェンシング、機能権限も設定でき、ロケーションやドメインに応じたアクセス制御を実現します。Kiteworksはフレームワークの原則を体現し、シームレスなコンプライアンスを支援する貴重なツールを提供し、組織のデータコントロールとセキュリティを強化します。
コンプライアンスの実効性を確保し、責任を限定
フレームワーク準拠を目指す組織は、効果的なプライバシー保護を実践する必要があり、原則の遵守を保証する堅牢な仕組み、原則違反による影響を受けた個人への救済措置、原則未遵守時の組織への結果を含める必要があります。最低限、こうした仕組みには、組織が自らのプライバシー実務について行う表明や主張が真実であること、プライバシー実務が提示通り実施されていること、違反事例への対応が含まれるべきです。Kiteworksは、GDPRコンプライアンスレポートを提供する高度なガバナンス機能を備えています。これらのレポートは、GDPR要件の達成を支援し、監査に必要な関連情報を自動収集します。これには、個人データが組織内でどのように収集・保存・利用・共有されているかのデータも含まれます。レポートは不一致や潜在的なコンプライアンス問題も明示し、監査前に組織が対応できるようにします。このプロアクティブなアプローチにより、組織はコンプライアンスを維持し、GDPR違反による罰則を回避できます。すべてのイベントは記録され、Kiteworksのアプリケーション管理者およびシステム管理者が閲覧可能なレポートとして提供されます。管理者は、システム上のすべてのアクションの監査ログにフルアクセスできます。より広い観点では、レポートにより組織は関連する運用状況を監視し、ポリシー制御設定を評価できます。これにより、組織のデータ保護ポリシーが正しく実装され、効果的であることを確保できます。GDPRコンプライアンスレポートは、監査人に対してデータチェックやスキャンが実施された証拠も提供します。これにはマルウェア(AVおよびATP)、プライバシー(DLP)、その他の潜在的なセキュリティ脅威のチェックが含まれます。
データの完全性と目的制限の監視
この十分性認定に準拠するには、組織はデータの完全性と目的制限を遵守しなければなりません。これらの組織は原則に従う必要があり、個人情報は処理目的に関連する情報に限定されなければなりません。組織は、個人情報を収集時または個人による後の承認目的と矛盾する方法で処理してはなりません。Kiteworksは、ユーザーアクセスを厳格に管理し、個人には役割に必要最小限のアクセスのみを付与することで、意図しない・意図的なデータ不正利用のリスクを低減します。管理者はアクセス、コンテンツ、構造、権限管理を細かく制御できます。プラットフォームは、きめ細かなコラボレーションやウォーターマーク付き閲覧専用、ダウンロード、ブラインドアップロードなども可能です。このレベルの制御により、ユーザーは必要なデータのみにアクセスできます。Kiteworksはさらに、堅牢な監査・レポート機能でセキュリティを強化します。管理者はシステム内の全ユーザー活動を包括的に把握でき、最小権限原則の実効性を高めます。ユーザーアクションの綿密な追跡は、データ保護だけでなく、最小権限アプローチの有効性も確保します。