データプライバシー|規制|法律|フレームワーク
Data & Mores Complice Service (DMCS)は、幅広い法的枠組みに対応しています。ヨーロッパのGDPRからカナダのPIPEDE、中国のPIPLまで。すべてのデータ・プライバシーの根底には、データは個人のものであり、組織はデータの管理者に過ぎないという前提があります。これを理解すれば、すべてのペルソナデータには保存期間が必要であり、保存が違法になる前に削除しなければならないことがわかります。
GDPRは最初の主要なデータプライバシー法制であり、その全体的な範囲により、ほぼすべての世界のデータプライバシー法制に影響を及ぼしている。しかし、以下に引用するように、GDPRは欧州連合のための権利憲章に根ざしていることに注意する必要があります。
以下に、DMCSがすぐにサポートする10のレギュレーター保持フレームワークについて概説する。
1.EU一般データ保護規則(GDPR):
GDPRの下では、データ保持はコンプライアンスを確保するための重要な側面です。組織は、個人データの保存期間を決定する明確なデータ保持ポリシーを確立しなければならない。データ最小化の原則が強調され、個人データは指定された目的に必要な期間だけ保持されるべきであることを意味する。組織は保持期間を文書化し、データの保存期間を個人に通知しなければならない。GDPRはまた、保管中のデータを保護するために適切なセキュリティ対策を実施することを組織に求めている。
2.米国カリフォルニア州消費者プライバシー法(CCPA)
CCPAは、消費者に企業が保有する個人情報の削除を要求する権利を認めている。その結果、企業はこれらの権利に沿ったデータ保持ポリシーを策定しなければならない。CCPAは具体的な保存期間を定めてはいないが、企業がデータ保存の慣行について個人に通知する必要性を強調している。企業は、収集した個人情報のカテゴリー、収集目的、データの保持期間を開示しなければならない。データ保持ポリシーを遵守し、要求に応じてデータを適時に削除することは、CCPAの要件を満たすために極めて重要である。
https://oag.ca.gov/privacy/ccpa
3.カナダ個人情報保護および電子文書法(PIPEDA):
PIPEDAは、組織に対し、明確かつ合理的なデータ保持ポリシーを持つことを求めている。PIPEDAは、個人情報の保持を、特定された目的を果たすために必要なものだけに限定することの重要性を強調している。組織は、個人情報の収集・保持方法を特定し、その目的を個人に伝えなければならない。さらにPIPEDAは、特定された目的に必要でなくなった個人情報を破棄または匿名化するためのガイドラインと手順を組織が持たなければならないことを義務付けている。
4.ブラジル一般データ保護法(LGPD):
LGPDは、個人データの保護とプライバシーを確保するためのデータ保持ポリシーの重要性を認識している。組織は、データ処理の特定の目的を設定し、その目的を達成するために必要な期間データを保持することを義務付けています。組織は、データ保持期間と、データ保持期間を決定するために使用される基準について、個人に通知しなければならない。さらに、LGPDは、保持されたデータを保護し、不正なアクセスや開示を防ぐための適切なセキュリティ対策の必要性を強調している。
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5.シンガポール個人データ保護法(PDPA):
PDPAに基づき、組織は収集目的に沿ったデータ保持ポリシーを策定しなければならない。個人データは、明示された目的を果たすために必要な期間を超えて保持されるべきではなく、組織は保持期間を文書化しなければならない。PDPAはまた、不正アクセス、開示、紛失から保有データを保護するために、適切なセキュリティ対策を実施することの重要性を強調している。
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6.オーストラリア個人情報保護法(APA)
オーストラリア個人情報保護法(Australian Privacy Act)は、具体的なデータ保持期間を明示してはいませんが、データ最小化の原則を強調しています。組織は、特定された目的を果たすために必要な期間のみ個人情報が保持されることを保証するデータ保持ポリシーを確立することが期待されています。さらに同法は、不正アクセス、誤用、妨害、紛失、開示から保持データを保護するために、組織が適切なセキュリティ保護措置を実施する必要性を強調している。
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7.米国医療保険の相互運用性と説明責任に関する法律(HIPAA):
HIPAAには、医療分野におけるデータ保持に関する規定が含まれている。対象事業体及び業務提携者は、法律上及び業務上の要件を満たすために、保護されるべき医療情報(PHI)を指定された期間保持することが求められる。HIPAAは、具体的な保管期間を定めていないが、データの保管と廃棄に関する方針と手順を実施する必要性を強調している。組織は、PHIのデータ保持方針を確立する際、州法および連邦法を考慮すべきである。
https://www.hhs.gov/hipaa/index.html
8.英国データ保護法
2018年データ保護法は、GDPRと連動して、組織に対してデータ保持ポリシーの策定を義務付けている。個人データは、指定された目的に必要な期間のみ保持されるべきである。同法は、組織が保持期間とデータ保存期間を決定するための基準について個人に通知する必要性を強調している。さらに、保持されたデータを保護するために、適切なセキュリティ対策を実施しなければならない。
9.中国個人情報保護法(PIPL):
中国の個人情報保護法(PIPL)は、データ処理目的のためにデータ保持ポリシーを確立することを組織に義務付けている。個人情報は、指定された目的を達成するために必要な期間のみ保持されるべきである。組織は、保持期間およびデータ保持期間を決定するために使用される基準について、個人に通知しなければならない。法律はまた、不正アクセス、開示、紛失から保持データを保護するためのセキュリティ対策を実施することを組織に求めている。
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
インド個人データ保護法案(PDPB):
インドで提案されているPDPBは、データ保持ポリシーの重要性を強調している。組織は、データ処理の目的に基づいて保持期間を設定しなければならない。個人データは、指定された目的を果たすために必要な期間を超えて保持されるべきではない。PDPBは組織に対し、保持期間について個人に通知し、保持されたデータを保護するために適切なセキュリティ対策を実施することを求めている。
いつものように、ソースを読んでください。