世界中の政府や専門機関が、データ漏洩や消費者データの悪用を防ぐための規制ガイドラインを作成しています。現在、最も基本的な法律とガイドラインには、HIPAA、SOC 2、CCPA、GDPRが含まれています。
この記事では、コンプライアンスを維持するために従うべきセキュリティの基本について学びます。また、コンプライアンスを怠った場合のペナルティや、Integrate.ioのようなETLツールがコンプライアンス違反を回避するためにどのようにデータセキュリティを向上させることができるのかについても学びます。
Table of Contents:
コンプライアンスルールとガイドライン
HIPAA
SOC 2
CCPA と GDPR
遵守を怠った場合どうなるか?
業界の規制を遵守するには
コンプライアンスルールとガイドライン
2020年のデータセキュリティの脅威を食い止めるには、企業レベルのランサムウェア攻撃、サプライチェーンのサイバー攻撃、クラウドサーバーのデータベースを暗号化して攻撃することを防ぐ堅牢なセキュリティが必要です。また、一般的なデータ漏洩の危険性も残っています。データ漏洩に関する新しい話は、少なくとも週に1回は出てきているようです。最近では、2020年3月にマリオットがデータ漏洩により520万人分の情報が流出したことを認めました。そのデータには、少なくとも500万件の暗号化されていないパスポート番号と800万件のクレジットカード番号が含まれていました。
自身の業界に適用されるコンプライアンスのルールやガイドラインを学ぶことで、リスクプロファイル(企業が晒されている脅威)を下げ、顧客を守り、コンプライアンスを守らなかった場合のペナルティを回避することができます。
HIPAA
医療保険のポータビリティとアカウンタビリティ法(HIPAA)には、医療患者の個人情報を保護するために設計されたいくつかのプライバシーとセキュリティの規則が含まれています。医療提供者、保険会社、または医療業界と連携するその他のベンダーであれば、データ保護に役立つ管理的、物理的、技術的なセーフガードに従わなければなりません。
経営管理面での安全対策
経営管理上の安全対策には以下のようなものがあります。
- セキュリティ担当者の審査
- 従業員が患者データにアクセスできるレベルの管理
- プライバシーの脆弱性を発見するための定期的なアセスメントの実施
物理的な安全対策
物理的な安全対策は、患者情報が保存される領域への物理的なアクセスを制限するように医療機関に指示しています。また、医療機関は、ワークステーションやモバイル機器に関連するポリシーを作成し、それに従うことを求められます。例えば、企業は、施設外のモバイル機器から記録にアクセスできないように地理的な境界線を設定することができます。
技術的な安全対策
HIPAAでは、医療機関は患者の同意なしに保護された健康情報(PHI)を共有してはならないとされていますが、ガイドラインを満たすためには、単にPHIの共有を禁止するだけではありません。また、企業は、誰かが健康情報を盗むことを非常に困難にするための技術的な安全対策を必要としています。
例えば、エンドツーエンドの暗号化は、データベースから転送先に情報を転送する間、情報を保護します。Integrate.ioはフィールドレベルの暗号化でこの要件を満たしています。フィールドレベルの暗号化では、データはIntegrate.ioのパイプラインに入る前に暗号化されます。データは、他のヘルスケアプロバイダーのデータベースや、診断や患者の治療成果の改善につながる健康トレンドを医学研究者が発見するのに役立つ分析ツールなど、目的の場所に到達するまで復号化されることはありません。
Integrate.ioをETLソリューションとして使用することで、ヘルスケア部門で働くどのような組織でもHIPAA基準に簡単に準拠することができます。フィールドレベルの暗号化は、Integrate.ioの管理者でさえもデータがあるポイントから別のポイントに移動するのを見ることができないほどうまく機能します。
SOC 2
SOC 2 は、米国公認会計士協会(AICPA)が、公認会計士やその他の会計士を雇用する個人や組織のプライバシー保護を目的に制定した規格です。この基準は、金融機関と連携するデータセンター、SaaSプロバイダー、データアナリティクスのプロバイダー、文書作成者にも適用されます。
SOC 2の準拠には次のようなことが含まれます。
- 不正な人員が情報にアクセスできないようにするためのセキュリティ
- サービス提供者と顧客の間の秘密保持
- 組織がどのようにデータを収集、保持、使用、開示、廃棄するかをカバーするプライバシー基準
すべてのSOC 2レポートには、セキュリティに関するセクションが含まれていなければなりません。他の基準は推奨されていますが、必須ではありません。
Integrate.ioはSOC 2基準に準拠しているため、金融機関や公認会計士は、個人情報を第三者に晒すことなくデータを転送、変換、ロードすることができます。
CCPA と GDPR
カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の消費者が自分の個人情報をより管理できるようにするための規則である。CCPAによって確立された権利には以下のようなものがある。
- ウェブサイトやアプリに「販売しない」ボタンを追加し、消費者が自分の情報を第三者に販売することをオプトアウトできること
- 消費者が個人情報の削除を企業に意思表示できること
- 企業が収集した個人情報に基づく消費者差別の防止すること
- 企業は顧客情報をどのように利用するかを消費者に伝えること
似たような法律に、2016年に採択された欧州連合(EU)の一般データ保護規則(GDPR)があります。GDPRは、EU市民のデータに対するコントロールを強化することを目的としていますが、CCPAとは少し異なるアプローチを取っています。GDPRのポイントの一部を紹介します。
- データ漏洩後の影響を受けた消費者への通知の義務化
- 個人データを利用して消費者をプロファイリングしたり監視したりする企業に、安全性の向上に責任を持つデータ保護室(DPO)を採用することを義務化
- データ収集活動の詳細な記録を保管すること
- 消費者がユーザー契約に同意したり、同意しなかったりする機会を与えること
Integrate.ioは、個人データを迅速に暗号化し、厳格なデータセキュリティ基準に従って、管理者が機密データへのアクセスを許可する保全許可レベルを設定できるようにすることで、企業がCCPAとGDPRに準拠するのを支援します。顧客から情報の削除を求められたとき、Integrate.ioを使って効率的に情報を見つけて削除することができます。さらに、Integrate.ioは無理やり多くのセキュリティ機能の使い方を学ぶことをユーザーに強いたりはしません。コードの書き方を学ばなくてもデータを保護し、CCPA/GDPRに準拠できるノーコード・ローコード環境を提供します。
遵守を怠った場合どうなるか?
セキュリティ規制を遵守しない場合は、通常、罰金を支払うか、基準を改善するか、影響を受けた当事者から訴えられることを意味します。罰則は、コンプライアンスに違反していることを知っていたかどうか、あるいは故意にガイドラインを破ったかどうかによって異なることが多いです。
また、コンプライアンスに違反した場合は、データ漏洩のリスクも高くなり、ブランドの評判を落とす可能性があります。データ漏洩が発生すると、株価は下落し、顧客は離れていきます。サイバー攻撃が成功してしまった場合、企業は市場シェアの25%を失う可能性があるという調査結果もあります。顧客は、個人情報の盗難の標的になることを心配して、その企業と取引をしたくないと考えています。企業が故意に自分たちの情報を危険にさらしていると顧客が感じたら、それ以上に最悪です。
HIPAA
HIPAAは、公民権局(OCR)と米国保健福祉省(HHS)によって処理される民事違反のための明確な罰則を示しています。HIPAAはまた、犯罪行為を罰するための枠組みを確立していますが、これらの罰則の執行は司法省(DOJ)に委ねられています。
民事違反の罰則
公民権局は通常、システムを基準に更新する機会を与えてくれるので、HIPAA に沿ってシステムを更新することができます。問題を修正しない組織は、民事違反に対する金銭的な罰則に直面します。
知らずにHIPAA規則に違反した場合、1回の違反につき100ドルから5万ドルの罰金が科せられます。違反を繰り返すと、年間最高で25,000ドルの罰金が科せられます。
故意の怠慢によらない合理的な違反の場合は、1 回の違反につき 1,000 ドルから 50,000 ドルの罰金が科せられます。違反を繰り返す場合は、年間最高10万ドルの罰金が科せられます。
故意の怠慢(違反が是正された場合)の罰金は10,000ドルから50,000ドルの範囲であり、違反を繰り返す場合の年間最高額は250,000ドルです。
故意の無視(違反が修正されていない場合)は、150万ドルの年間最大で違反ごとに5万ドルの罰金が付属しています。
刑事違反の罰則
HIPAA基準の刑事違反は、金銭的な罰則や懲役につながることもあります。故意にHIPAAの規則を破ると、最大5万ドルの罰金と最大1年の懲役に直面します。
あなたが提供するプライバシー保護について患者に嘘をつくなど、虚偽の偽装を伴う違反は、最高で10万ドルの罰金と最高で5年の懲役刑が科せられます。
最も厳しい罰則は、利益を得たり、誰かに危害を加えたりする意図を持ってHIPAA法を破った人のために予約されています。意図的に法律に違反し、利益を得ようと計画した場合、25万ドルの罰金を受け、最大10年の懲役を余儀なくされる可能性があります。
SOC 2
SOC 2ガイドラインに準拠していないからといって、正式な罰則が科されるわけではありませんが、SOC 2監査によって、公認会計士、金融機関、およびそのベンダーが対処すべき脆弱性が明らかになる可能性があります。監査で脆弱性が発見された場合、企業の評判を汚すデータ漏洩のリスクが高まります。
SOC 2に準拠することで、法的な罰金、訴訟、和解につながるようなデータ漏洩を回避することができます。たとえば、2012年から2016年にかけてYahoo! Inc.に対するデータ漏洩が発生し、1億1700万ドルの損害賠償を請求する集団訴訟となりました。
CCPA
CCPAに準拠するように技術や顧客サービスを調整する企業は、罰金を回避することができます。30日以内に遵守しなかった場合、違反1件につき2,500ドル、故意の違反1件につき7,500ドルの民事罰則を課せられる可能性があります。
さらに悪いことに、CCPAは消費者の要求に従わない場合、消費者があなたを訴える権利を与えています。消費者は、最大750ドル、または損害賠償の実額を求めることができます。10万人のカリフォルニア人があなたの企業を訴え、あなたの企業が州の民事罰則金を支払わなければならない場合の総費用を想像してみてください。あなたの企業は何百万ドルもの損失を被ることになるかもしれません。
GDPR
GDPRには2段階の罰金があります。罰金は、GDPRをどのように遵守しないかによって異なります。
第一段階の罰金は、1,000万ユーロまたは企業の年間世界売上高の2%(いずれか高い方)です。この罰金は、以下の企業に適用されます。
- 子供の同意の条件を満たしていない
- ユーザーの身元を確認せずにデータを処理する
- 必要な資格を持っていない
- データ処理者およびコントローラに期待される一般的な義務を満たしていない
第二段階の罰金は、2000万ユーロまたは企業の年間世界売上高の4%(いずれか高い方)となります。より高い罰金が以下の企業に対して適用されます。
- 認められたデータ処理の原則に従わない
- 違法な理由でデータを処理する
- 同意した条件に従わない
- ユーザーが自分のデータを管理する権利を認めていない
- データを他国に転送する
CCPAと同様に、GDPRは市民に損害賠償を訴える権利を与えています。
業界の規制を遵守するには
Integrate.ioはセキュリティを最優先事項としています。卓越したセキュリティ基準へのコミットメントは、プラットフォームの機能に見ることができます。 Integrate.ioのセキュリティには、すべてのウェブサイトとマイクロサービスのSSL/TLS暗号化、パイプラインを通過する際にデータを保護するフィールドレベルの暗号化、情報、アプリ、ネットワークへの不正アクセスをブロックするファイアウォール、Amazonデータセンターによってホストされ管理されている物理的なインフラストラクチャを選択することで実現される物理的なセキュリティが含まれています。
これらの注意事項により、Integrate.ioは以下に準拠しています。
- CCPA
- GDPR
- HIPAA
- SOC 2
- Good Practice Guide 13 (GPG13)
- Payment Credit Industry Data Security Standard (PCI-DSS)
- Federal Information Security Management Act of 2002 (FISMA)
- Sarbanes-Oxley Act (SOX)
多くの国や国、専門機関がより厳しい規則を施行するようになれば、データセキュリティの重要性はますます高まるでしょう。政府や専門家の監督がなくても、企業がセキュリティに真剣に取り組んでいるプラットフォームを選ぶことは理にかなっています。
Integrate.ioはあなたが規制を遵守することを容易にし、ブランドの評判を保護し、顧客の個人情報を犯罪者から安全に守るのに役立ちます。ホームページでデモを予約し、プラットフォームのセキュリティ機能を実際に見てみてはいかがでしょうか。