GNU/Linux >> Linux の 問題 >  >> Linux

2022年のPIPEDAとは何ですか?それはホスティングプロバイダーにどのように影響しますか?

個人情報保護および電子文書法(PIPEDA)は、カナダの民間部門が商業活動の一環として個人情報を使用および開示する方法を規制するカナダの法律です。 PIPEDAは2000年4月に作成されましたが、法律は2004年1月1日まで完全に制定されませんでした。

欧州連合(EU)の最近の一般データ保護規則(GDPR)と同様に、カナダのPIPEDAは、デジタルにおける個人情報の保護に新たな焦点を当てています。世界中で、多くの人が、個人データが倫理的に処理され、適切に保護されていることを確認することにますます関心を持っています。 GDPRが基本的に欧州市民のデータの保護に重点を置いているように、PIPEDAはカナダ人の個人情報の保護に重点を置いています。

10のPIPEDA原則

PIPEDAは、10の「公正な情報」プライバシー原則を含む広範な法律です。これらは法律の基本ルールと見なされます。これらの原則の目的は、各個人が自分の情報で何が起こるかを制御できるようにすることです。

  1. 説明責任 –この原則は、組織が管理下にあるすべての個人情報に責任を負うことを定義しています
  2. 目的の特定 –組織は、収集する前に個人情報が必要な理由を宣言する必要があります
  3. 同意 –収集される個人情報は、個人の有意義な同意を得て行う必要があります
  4. 制限コレクション –必要なデータのみを収集する必要があり、常に公正かつ合法である必要があります
  5. 使用の制限、開示、保持 –この原則は、データが本来の意図された目的にのみ使用できることを強制し、データが使用されたら、安全に破棄する必要があります
  6. 精度 –収集されたデータは、正確、完全、かつ可能な限り最新のものでなければなりません
  7. セーフガード –収集されたデータは、データの整合性を維持するために適切なセキュリティで保護する必要があります
  8. オープン性 –データを収集する組織は、データ収集中に実施されるポリシーとプロセスを公開する必要があります
  9. 個別アクセス –個人は、要求に応じて、記録されているデータを表示し、その正確性に異議を申し立てる権利を有します
  10. コンプライアンスへの挑戦 –個人は、これらの原則のいずれかへの組織の順守に異議を申し立てることができます

これらの原則はすべて、PIPEDA準拠のホスティングインフラストラクチャに関して適用されます。ただし、ホスティングプロバイダーがこれらの要素を直接制御できるため、主な焦点はPIPEDAセーフガードです。

PIPEDAホスティングセーフガード

PIPEDAのホスティングセーフガードの原則は、ホスティングインフラストラクチャに実装する必要のある特定のセキュリティセーフガードを直接指定するものではありません。代わりに、ホスティングプロバイダーには、「テクノロジーが進化し、新しいリスクが発生したときに、そのケアで個人情報を適切に保護することを保証する」責任があります。

これが意味するのは、保護ツールがホスティングインフラストラクチャにすでに実装されている必要があるため、セーフガードの原則がホスティングプロバイダーの中核であるということです。すべてのデジタルレコードの保護を網羅するセキュリティポリシーを作成し、不正な変更や使用、アクセス、複製、開示、紛失、または盗難を防止する必要があります。

保護の方法は、1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA)のセキュリティルールに列挙されている方法と同様の方法で分類されます。 HIPAAは技術的、管理的、および物理的な保護の必要性を義務付けていますが、PIPEDAは保護の技術的、組織的、および物理的な要件を参照しています。

技術的保護手段

技術的な保護手段は、いくつかの重要な領域に焦点を当てています。 暗号化 データが紛失または盗難にあった場合にデータを保護するため、これは最も重要なセーフガードの1つです。暗号化では、許可されたユーザーまたは秘密鍵を持つシステムのみがデータにアクセスできます。キーがない場合、データはスクランブルされ、解読できません。保存データをプロアクティブに暗号化するホスティングプロバイダーを選択してください。

ユーザーアクティビティの管理 もう1つの重要な保護手段です。ユーザーアカウントは、複雑な複数文字のパスワードで保護する必要があります。データへのアクセスは、最小特権の原則を使用して制御する必要があります。つまり、手元のタスクを完了するために必要な最小限のデータにしかアクセスできません。アクセス制御リスト(ACL)は、通常はActiveDirectoryセキュリティグループの形式で維持する必要があります。 ACLは、特定の時間または地理的位置でのみ、関連するユーザーに特権アクセスを許可します。

詳細なロギング 組織全体で有効にする必要があります。ロギングにより、システム管理者は、誰が、いつ、なぜ、個人情報にアクセスしたかを確認できるようになります。ログは、データにアクセスするユーザーの傾向をインテリジェントに確認できるSIEMプラットフォームにフィードできます。営業時間外のデータアクセスや、個人のデータに関係する人物など、予期しない活動によってアラートが発生する可能性があります。

同様に、侵入防止システム (IPS)は、ファイアウォールがすでに正当であると受け入れたパケットを検査することにより、ファイアウォールと連携するためにクラウドネットワーク内の戦略的なポイントに実装できます。 IPSはネットワーク上に直接存在し、ハードウェア層のローカルの脆弱性から保護します

ネットワークファイアウォール また、非常に重要です。これらは、ネットワークインフラストラクチャを本質的に保護し、スコープ内のPIPEDAシステムを分離して保護するように設計されています。これにより、完全にプライベートな管理環境が実現します。ハードウェアおよびソフトウェアファイアウォールは、境界および内部ネットワークの周囲に戦略的にインストールされます。組織がWebサーバーに大きく依存している場合は、Webアプリケーションファイアウォール(WAF)を検討する必要があります。 WAFは、ネットワークエッジ保護を介してトラフィックを監視およびフィルタリングすることでWebアプリケーションを保護するポリシー定義のデバイスです

PIPEDAの重要な原則は、収集された個人データの整合性を維持することです。これを実現する最も簡単な方法の1つは、セキュリティを定義したバックアップソリューションを用意することです。 所定の位置に。データが誤って削除された場合、データはすぐに復元できます。

組織の安全対策

組織の保護措置は通常、データを保護するために管理者が実施する手順やプロセスなど、組織のコンプライアンスの管理を通じて実施されます。教育プログラム この目的の基本的な部分です。トレーニングはプライバシー意識の文化を作り出すのに役立ち、PIPEDAルールに違反するリスクを大幅に減らすことができます。トレーニングは通常、サイバーセキュリティのリスクと傾向、プライバシールール、およびデータ侵害が発生した場合に組織と個人に課せられる可能性のあるペナルティの理解に焦点を当てています。

その他の社内のベストプラクティス 遵守することは、明確な画面と明確なデスクポリシーです。クリアな画面には、スタッフが長時間デスクを離れるときは常にコンピュータからログオフし、離れるときは少しでもコンピュータをロックする必要があることが示されています。クリーンデスクポリシーでは、従業員が無人のままにするときはいつでも、リムーバブルメディア、付箋、名刺、メモ、ドキュメントなど、あらゆる資料をデスクから空にすることが義務付けられています。

すべての従業員はセキュリティを精査する必要があります 仕事に機密情報の取り扱いが含まれる場合。デューデリジェンスでは、スタッフが個人データシステムにアクセスできるようにする前に身元調査が必要です。従業員の詮索の報告はすべて完全に調査する必要があり、予防措置が失敗した場合は、懲戒処分を検討する必要があります。

物理的保護手段

PIPEDAに準拠するには、ホスティング会社が個人データを物理的に保護する必要があります。一般の人々は機密データを閲覧できないようにする必要があるため、ホスティングデータセンターなどの機密性の高い場所へのアクセスを制限する必要があります。データセンターのセキュリティを真剣に受け止めているホスティングプロバイダーを選択してください。データセンターは本質的に安全な複合施設であり、24時間365日監視され、多くの場合、オンサイトのセキュリティで個人およびリモートの監視が行われます。データセンター内では、部屋は施錠されており、キーカードを使用して許可された担当者へのアクセスが制御されています。

オフィス、ドア、キャビネットは施錠しておく必要があります。防犯カメラと物理的アクセスポリシーは、「合理的な」物理的制御の他の例です。

2018PIPEDAアップデート

PIPEDAは、最初の制定以来、カナダで事業を行うすべての企業がデータ保護プログラムを実施している必要があることを義務付けています。 2018年11月1日に、PIPEDA内のデータセキュリティルールが更新され、さらなるデューデリジェンスが義務付けられ、ルールの厳格さが強化されました。

現在、企業は、システム内にあるすべてのデータを制御および管理し、システムを合理的に保護するためにシステムに適切なアクセス制限を課す必要があります。カナダ国民のデータを国内外で扱う組織は、次の新しいタスクを実行する必要があります。

  • 経済的損失などの「個人に重大な危害を加える実際のリスク」を伴うプライバシー侵害の影響を受けたユーザーに通知を送信します
  • プライバシー侵害があれば、カナダのプライバシーコミッショナーオフィスに報告してください
  • プライバシー侵害の記録を維持する

プライバシーコミッショナーのオフィスからのクラウドガイドラインは12月14日に更新されました。これらのガイドラインはクラウドに固有のものです。ただし、それらはホスティングプロバイダーとの関係にうまく変換されます。 FAQには、PIPEDAは「クラウドプロバイダーが別の国にある場合でも、クラウドコンピューティングを禁止していない」と記載されています。そうすれば、クラウドを使用できます–それは非常に明確です。それ以降のパラメータは次のとおりです。

  • 必ず各自の同意を得てください
  • 収集したデータを保護する
  • 適切な目的で個人データを収集するようにしてください
  • 個人データの収集を指定された目的に制限します
  • これらの目的をユーザーが利用できるようにします
  • プライバシー慣行をユーザーに知らせます

ホスティングおよびサードパーティに固有のPIPEDAガイドライン

米国の医療業界におけるHIPAAコンプライアンスに関するビジネスアソシエイト契約(BAA)の要件と同様に、PIPEDAは、データがサードパーティに転送または処理される場合は常に、すべてのデータに対する責任を維持する必要があることを義務付けています。

ルールは、契約が必要なHIPAAのBAAほど厳格ではありません。 PIPEDAでは、サードパーティを使用する各組織が、「契約上またはその他の手段」によってデータ保護が適切に実施されていることを確認する必要があります。

クラウドプロバイダーまたはホスティングサービスを使用している組織は、システムがPIPEDAコンプライアンスの制限を維持していることを確認する必要があります。特に、個人データの処理に対応する契約言語に注意を払う必要があります。

PIPEDAコンプライアンスを継続するためのプロバイダー関係の重要性

コンプライアンスパラメータがより厳格になると、組織は、これらの新しい特定の規制パラメータを満たすためのニッチな専門知識を持つITパートナーにますます頼りになります。そのため、またクラウドコンピューティングやその他のサードパーティシステムが業界全体で非常に一般的になっているため、データを処理するプロバイダーが同じガイドラインに従うことを組織が懸念することが重要です。

PIPEDAコンプライアンスを満たすことを検討している場合は、サードパーティプロバイダーが確実に役立ちます。ただし、選択したホストに準拠したレコードがあり、それに特化していることを確認することが重要です。 Atlantic.Netでは、コンプライアンスホスティングは、サードパーティの独立監査人によって認定および監査されています。私たちは業界で25年以上の経験があります。弊社がどのようにお手伝いできるかについては、お問い合わせください。


Linux

  1. LinuxでのChownコマンドとは何ですか?その使用方法

  2. cURLコマンドとは何ですか?その使用方法は?

  3. NGINXとは何ですか?それはどのように機能しますか?

  1. Webサーバーとは何ですか?Webサーバーはどのように機能しますか?

  2. コンテナ化とは何ですか?DockerとKubernetesとはどのように関連していますか?

  3. メールとは何ですか? どのようにナビゲートされますか?

  1. Makefileとは何ですか?どのように機能しますか?

  2. Podmanとは何ですか?Dockerとどのように異なりますか?

  3. DNSとは何ですか?どのように機能しますか?