コンプライアンス概要
KiteworksでEU・米国間データプライバシーフレームワークを確実に遵守
EU・米国間データプライバシーフレームワークの厳格な要件に対応
欧州委員会は、EU・米国間データプライバシーフレームワークに関する十分性認定を正式に承認し、EUから米国企業への個人データ移転に対して米国が十分な保護水準を提供していることを確認しました。この決定により、追加のデータ保護措置を講じることなく、個人データの安全な移転が可能となります。新しいEU・米国間データプライバシーフレームワークには、欧州司法裁判所が指摘した懸念に対応するための拘束力のあるセーフガードが組み込まれています。これには、米国情報機関によるEUデータへのアクセスを必要かつ適切な範囲に限定することや、EU市民が利用できるデータ保護審査裁判所(DPRC)の設置が含まれます。従来のプライバシーシールドと比較して、このフレームワークは大幅に改善されており、新たなセーフガードに違反して収集された場合、DPRCがデータ削除を命じることが可能です。
ウルズラ・フォン・デア・ライエン欧州委員会委員長は、新たなフレームワークが市民のデータ安全性に対する信頼を醸成し、EUと米国間の経済的結びつきを強化すると表明しました。米国企業は、詳細なプライバシー義務を遵守することを約束することで、このフレームワークに参加でき、第三者とのデータ共有時にも保護が継続されます。EU市民は、米国企業によるデータの不適切な取り扱いがあった場合、独立した紛争解決や仲裁パネルを含む救済手段を利用できます。さらに、米国の法制度では、刑事法執行や国家安全保障目的でのデータアクセスに対し、必要最小限に限定したセーフガードが設けられています。米国のセーフガードは、標準契約条項や拘束的企業準則(BCRs)など、他の移転手段にも適用され、全般的な大西洋間データフローを促進します。この決定は、EUと米国間の安全なデータ移転を推進し、両地域の企業に法的な確実性をもたらし、共通の価値観を再確認する重要な一歩です。
個人情報保護対策を安全に導入
EU・米国間データプライバシーフレームワークへの準拠には、組織が特定のセキュリティ基準を遵守する必要があり、個人情報を作成、維持、利用、または配布する組織は、その処理に伴うリスクや個人データの性質を十分に考慮し、紛失、不正利用、不正アクセス、開示、改ざん、破壊から保護するために合理的かつ適切な措置を講じなければなりません。Kiteworksは、米国・EU十分性認定への対応を目指す組織にとって革新的なソリューションです。
Kiteworksは、AES暗号化(256ビット)によるデータの保存時・転送時のセキュリティを確保します。サーバー間の転送時にはSSL/TLSおよびAES暗号化でファイルを保護。FIPS 140-2認定のAES-256ビットディスク暗号化と個別ファイル暗号化による二重暗号化層でデータ保護を強化します。KiteworksはDLP製品とシームレスに統合し、コンテンツ認識型の共有制限を実現。SAML SSO統合や二要素認証などの認証オプションでセキュリティを強化します。ファイル共有、マネージドファイル転送、メールデータにおいてFedRAMP認証を取得した唯一のプラットフォームであり、CMMC 2.0やHIPAAなどのコンプライアンス基準にも対応。きめ細かな権限設定、暗号化、監査ログにより、紛失、不正利用、不正アクセス、開示を防止します。Kiteworksの包括的な機能は、データの完全性、可用性、機密性を確保し、コンプライアンス維持を容易にします。
個人情報収集時の明確な通知と、オプトイン時の透明性・保護を提供
フレームワークでは、通知、選択、第三者移転の責任、アクセス、救済、執行、責任に関する複数のトラッキング要件が定められています。まず、この十分性認定に準拠するには、組織は個人が初めて個人情報の提供を求められる際、またはそれに準じて速やかに、明確かつ目立つ言葉で通知を行う必要があります。Kiteworksは、セキュアなウェブフォームやデータ収集メカニズムを提供し、ユーザーから明示的な同意を取得できます。これらのフォームは、データ収集の目的、利用方法、第三者関与の有無を明示するようカスタマイズ可能です。
フレームワークによれば、組織は、個人情報が第三者に開示される場合や、当初収集または個人による後の許可と大きく異なる目的で利用される場合、個人に選択の機会を提供しなければなりません。センシティブ情報(医療・健康状態、人種・民族、政治的意見、宗教・哲学的信条、労働組合加入、性生活に関する情報など)については、第三者への開示や当初収集または個人による後の許可と異なる目的で利用する場合、オプトイン選択による明確な同意を取得する必要があります。Kiteworksは、米国・EUフレームワークのデータ管理重視に完全対応。明示的同意取得やデータカスタマイズのためのセキュアなウェブフォームを提供し、コンプライアンスを支援します。ユーザーは個人情報を他の組織へ安全にアクセス・転送でき、フレームワークの意図を反映。Kiteworksのセキュアなストレージ、監査ログ、コンプライアンスレポートはデータセキュリティ要件を満たします。レポート機能はエンドユーザーと管理者双方に有益で、管理コンソールやKiteworksウェブアプリケーションでユーザーの活動を可視化。この包括的なソリューションにより、組織はフレームワークで求められる複雑なデータ管理要件に対応しつつ、個人が自身のデータに対する権限を維持できます。
フレームワークに準拠を目指す組織は、組織が保有する個人情報へのアクセス権を個人に付与し、不正確な場合や通知・選択原則に違反して処理された場合には、その情報の訂正、修正、削除ができるようにしなければなりません。Kiteworksは、個人のアクセス権を強力にサポートし、ユーザーが自身の個人データにアクセスできるだけでなく、そのデータがどのように処理されているかの知見も得られます。プラットフォームはデータポータビリティを強化し、ユーザーが個人情報に安全にアクセス、転送、ダウンロードできる手段を提供。適切なデータアクセス権限の維持やリポジトリのセキュアなロック・バージョン管理により、Kiteworksはユーザーが安全かつ管理された方法でデータを扱えることを保証します。
第三者移転における責任の明確化
組織は、第三者への個人情報移転に対する責任も負わなければなりません。第三者が管理者として個人情報を受け取る場合、通知および選択原則を遵守する必要があります。また、第三者管理者と契約を締結し、当該データは個人による同意に基づく限定的かつ特定の目的でのみ処理されること、受領者が原則と同等の保護水準を提供し、この義務を満たせなくなった場合は組織に通知することを定めなければなりません。Kiteworksは、米国・EUフレームワークのデータ管理原則遵守において重要な役割を果たします。このフレームワークは、個人情報を第三者(管理者または代理人)に移転する際の慎重な取り扱いを義務付けています。Kiteworksは通知および選択原則をサポートするだけでなく、組織の遵守を積極的に支援します。プラットフォームは、明示的同意取得のためのセキュアなウェブフォームやカスタマイズ可能な仕組みを提供し、個人がデータ利用目的や第三者関与を理解できるようにします。
Kiteworksは、組織がオプトインメカニズムを構築できるよう支援し、ユーザーが積極的に情報を提供できる環境を実現します。詳細な同意フォームにより、データ利用・共有・保持について明確に説明し、ユーザーが十分な情報に基づいて選択できるようにします。プラットフォームは未成年者の同意取得手続きにも対応し、関連法規への準拠を確保します。
さらに、Kiteworksは最小権限アクセス制御モデルによりデータセキュリティを強化。管理者は個人や役割ごとに細かくアクセス制御を行い、不正アクセスからの保護を強化します。ネストされたフォルダー管理により、コンテンツや権限をきめ細かく管理。リアルタイム編集、閲覧のみ、ダウンロード制限などの機能を役割やデータの機密性に応じて制御可能です。管理者はドメインブロック、ジオフェンシング、機能権限も設定でき、場所やドメインに応じたアクセス制御を実現。Kiteworksはフレームワークの原則を体現し、組織のコンプライアンスを円滑に支援するための不可欠なツールを提供し、データ管理とセキュリティを強化します。
コンプライアンスの徹底と責任制限の確保
フレームワーク準拠を目指す組織は、原則の遵守を保証するための強固なプライバシー保護体制を実践しなければなりません。これには、原則違反により影響を受けた個人への救済措置や、原則が守られなかった場合の組織への結果も含まれます。最低限、組織がプライバシー実務について行う表明や主張が事実であり、提示されたとおりに実施されていること、違反事例に関しても検証するためのフォローアップ手続きが必要です。Kiteworksは、GDPRコンプライアンスレポートを提供する高度なガバナンス機能を備えています。これらのレポートは、GDPR要件を満たすために必要な情報を自動的に収集し、監査に必要なすべての関連情報を網羅します。個人データの収集、保存、利用、共有方法に関するデータも含まれます。レポートは不一致や潜在的なコンプライアンス問題も明示し、監査前に是正できるようにします。このプロアクティブなアプローチにより、組織はコンプライアンスを維持し、GDPR違反による罰則を回避できます。すべてのイベントは記録され、Kiteworksのアプリケーション管理者とシステム管理者が利用できるレポートとして提供。管理者はシステム上のすべての操作の監査ログにアクセスできます。より広い範囲では、レポートにより組織は関連する運用状況を監視し、ポリシー制御設定を評価できます。これにより、組織のデータ保護ポリシーが正しく実施され、効果的であることを確認できます。GDPRコンプライアンスレポートは、監査人に対してデータチェックやスキャンが実施された証拠も提供。これにはマルウェア(AVおよびATP)、プライバシー(DLP)、その他の潜在的なセキュリティ脅威のチェックも含まれます。
データの完全性と目的制限の監視
この十分性認定に準拠するには、データの完全性と目的制限を遵守する必要があります。これらの組織は原則に則り、個人情報は処理目的に関連する情報のみに限定されなければなりません。組織は、個人情報を収集時または個人による後の許可と矛盾する方法で処理してはなりません。Kiteworksは、ユーザーアクセスに厳格なアプローチを採用し、役割に必要最小限のアクセスのみを付与することで、意図しないデータの誤用や故意の悪用リスクを低減します。管理者はアクセス、コンテンツ、構造、権限管理を細かく制御可能。プラットフォームは、きめ細かなコラボレーションやウォーターマーク付き閲覧専用、ダウンロード、ブラインドアップロードなども役割に応じて設定できます。このレベルの制御により、ユーザーは必要なデータのみにアクセス可能。Kiteworksは、堅牢な監査・レポート機能によりセキュリティをさらに強化。管理者はシステム内のすべてのユーザー活動を包括的に把握でき、最小権限原則の徹底を強化します。ユーザーの行動を細かく追跡することで、データ保護と最小権限アプローチの有効性を両立します。