btzgrp
  • 写真:新しいiPodと古いアドオン - TechRepublic
Headlines

専門家はGDPR5周年を称賛

05 mins
専門家はGDPR5周年を称賛
抽象的な背景に GDPR という単語とデータ保護のシンボル。
画像: Lucadp/Adobe Stock

基本的に、一般データ保護規則のプライバシー権の焦点は、人々にデータの来歴を与えることであり、これにより、個人がデータブローカーを含む企業による個人情報の使用方法を指示できるようになります。

GDPR は、欧州連合全体にわたる一連のデータ プライバシー規制であり、域外適用範囲を持っています。つまり、EU 内の人々の PII を扱う EU 外のプラットフォームやウェブサイトも、GDPR の指令に従わなければなりません。

この条項による金銭面でのこれまでの最大の結果は、今週のMetaに対する13億ドルの罰金と、米国におけるEUユーザーデータの処理を停止するよう命じられたことである。

同意管理プラットフォーム Cookiebot の説明によると、GDPR 法では、EU 内の訪問者と関わるウェブサイトは、個人を特定できる情報を処理する前に、次の事項を遵守しなければならないと規定されています。

  • ユーザーから明確かつ明白な同意を得る。
  • それぞれの特定のカテゴリーの Cookie に対してユーザーが同意したり、同意を取り消したりできるように、ページ上で存在し動作している Cookie やその他の追跡テクノロジーをわかりやすい方法で指定します。
  • 各ユーザーの同意を安全かつ秘密裏に文書化し、定期的に新たな同意を求めることができること。

専門家はGDPRを称賛するが、さらなる改善が必要だと指摘

フィンランドのヘルシンキで開催された WithSecure の Sphere23 イベントでは、数名の専門家が GDPR の利点について意見を述べました。

「欧州委員会は多くの点で批判を受けていますが、GDPRは胸を張って『我々はこの分野で世界をリードしてきた』と言える唯一のものです。規制上のマイルストーンとして、これはエベレスト登山に匹敵するものです。そして、他の管轄区域も追随しており、GDPRは効果を上げているようです」と、ウィズセキュアのサイバーセキュリティアドバイザー、ポール・ブルチアーニ氏は述べています。

彼は、デジタルパワーの追求によって引き起こされたインターネットの断片化が複雑性を生み出し、EUはGDPRでこれに対処し、新たなテクノロジーにも適用していると指摘した。「例えば、AIは規制が必要となる次の大きな分野です。EUはAI法の提案によって、この分野で再び先行しています。AI法は、イノベーションを促進し、将来を見据え、混乱にも強い法的枠組みを目指しています」と彼は述べた。

Hackuityの戦略担当副社長、シルヴァン・コルテス氏は、これは良いスタートだが、まだ十分ではないと述べた。

「コンプライアンスは不可欠ですが、組織には、基本的な要件を超えて考える機会を捉え、サイバーセキュリティの継続的な改善文化を育むことを強く推奨します」と彼は述べました。「コンプライアンスの達成は、年次または四半期ごとの監査を達成するための土壇場での『試験対策』のように捉えるべきではないことを覚えておくことが重要です。目標は、最低限の要件を満たし、チェックボックスにチェックを入れるだけの思考から脱却することです。GDPRへのコンプライアンスは不可欠ですが、現代の組織にとってそれだけでは十分ではありません」と彼は付け加えました。

ヨーロッパを越えて(米国でも)影響の波紋

米国には国家レベルのデータプライバシー法はありませんが、これまでに8つの州が包括的なプライバシー法、あるいはより限定的もしくはカスタマイズされた法律を制定し、消費者に個人データの取り扱い方法に関する権限を与えています。その中には、以下の州が含まれます。

  • 2020 年 1 月に発効したカリフォルニア州消費者プライバシー法は、国民に、第三者のサイトへの PII の販売を停止し、収集されたデータを知る(および削除する)権利を与えています。
  • 2019年に施行されたネバダ州の個人情報のセキュリティとプライバシーに関する法律により、ネバダ州民は自分のデータが第三者のデータブローカーに販売されるのを阻止できるようになった。
  • 今年発効したバージニア州の消費者データ保護法には、消費者が自分の個人情報にアクセスし、削除を要求する権利を与えるいくつかの要件が含まれています。
  • 2023 年 5 月 11 日に成立したテネシー州情報保護法は、国民に個人情報 (PII) が第三者に販売されることを拒否する権利を与えています。

メイン州コロラド州ユタ州アイオワ州インディアナ州コネチカット州も、包括的または個別に対応したプライバシー法を制定する州として増加傾向にあります。モンタナ州、テキサス州、フロリダ州でも同様の法案が提出されており、知事の署名を待っています。

アイデンティティ定義セキュリティアライアンスのエグゼクティブディレクター、ジェフ・ライヒ氏は、これらの法律や今後制定される法律はGDPRに由来すると述べた。

「GDPRという、池の中の石が波紋を起こし続け、周囲のあらゆるものに影響を与え続けています」と彼は述べた。「GDPRが採択されてから7年、施行開始から5年が経ちましたが、今日に至るまで、この規制の成果を目にしないのは困難です。小売業者やベンダーは、やり方はまだ分かっていなくても、何をすべきかは分かっています。最も効果的な行動変容は、消費者と共にあることです。」

同氏は、長期的に見て最大のメリットは、消費者が自分のアイデンティティの価値と個人データを保護するセキュリティを理解できるようになることだと述べた。

Tagged:

Related News