このブログは2019年4月15日に投稿されたものです。

データの成長は指数関数的なものになっています。2023年までに、毎日約463エクサバイト(EB)に達すると予測されています。これを考慮すると、1エクサバイトは10億ギガバイトに相当する単位です。2021年までには、毎日3,200億通の電子メールが送信され、その多くは個人情報を含んでいます。

世界中で収集されるデータには、より多くの情報に基づいた意思決定を行うために企業が活用する情報が含まれています。このため、個人識別情報(PII)を含むデータはすべて保護する必要があります。

このような保有している情報を取り巻く様々な懸念のため、政府は地域、国、国際レベルで市民を保護するための措置を講じてきました。これらの規制措置には、カリフォルニア州消費者プライバシー法(CCPA)、健康保険の可搬性と説明責任に関する法律(HIPAA)、一般データ保護規則(GDPR)、中国サイバーセキュリティ法などがありますが、これらに限ったものだけではありません。

この記事では、このうちのCCPAとGDPRの2つを比較してみます。両規制には共通点もありますが、注意しておくべき重要な違いもあります。GDPRが先に発効されたのは2018年5月25日、続いてCCPAが発効されたのは2020年1月1日と、より最近のことです。

What Is GDPR?

一般データ保護規則(GDPR)とは、欧州連合(EU)法における規制で、プライバシーやデータ侵害から市民を保護するためのものです。

この規制は、EU市民や居住者に商品やサービスを提供する事業者や、EU市民の個人データを処理する事業者(EU内に住んでいるかどうかは問わない)に適用されます。

GDPRは次のように述べています。

  • データを処理する際には、同意書を提示し、平易な言葉で説明しなければならない。
  • 違反が発生した場合、発見された時点で、影響を受けた者には72時間以内に通知しなければならない。
  • 個人データが販売される場合、消費者は誰に、どのような目的で個人情報が販売されるのかを知る法的権利を有している。
  • EU市民は、企業のデータベースから完全に消去される権利を持っている。

違反行為は、2,000万ユーロ(または世界の売上高の4%のいずれか大きい方)にも相当し、信じられないほどの高額な費用がかかる可能性があります。さらに、違反による影響を受ける個人にも補償を受ける権利があります。

この規制が施行されると、ビジネスの世界全体で変化が見られました。例えば、調査対象者のうち60%がGDPRによって、個人情報の収集、使用、保護の方法に関して組織のワークフローが大きく変わったと答えています。さらに、消費者の48%がGDPRの直接的な効果として自分たちの権利を表明する予定であることを表明しました。

What Is CCPA?

CCPAはCalifornia Consumer Privacy Actの略で、カリフォルニア州の住民に関する個人データを収集する世界中の企業に適用される。

これは、年間収入が2,500万ドル以上の企業、少なくとも5万人以上の住民に関するデータを保有する企業、および個人データの販売が収入の半分以上を占める企業に適用されます。

2018年6月下旬に法律に署名され、2020年1月に施行されたCCPAは、GDPRよりも幅広いアプローチを取っています。残念ながら、CCPAが施行された際に、56-88% の企業は準備ができていなかったと報告されています。

CCPAは次のように述べています。

  • 企業は、個人情報が取得される際に個人に通知することが求められている。また、情報がどのように使用されているか、誰にデータを販売しているかを共有しなければならない。
  • 消費者は、企業のホームページ上で「自身の情報を販売しない」というオプトアウトオプションにアクセスできなければならない。
  • カリフォルニア州の居住者および市民は、データベースからも、情報を購入した第三者のデータベースからもデータを消去される権利を持っています。

簡単に言うと、カリフォルニア州議会法案375として知られているこの新しい法律は、カリフォルニア州の消費者が、企業が個人的に保存した情報のすべてを検索して入手することを可能にし、データを共有している第三者の完全なリストを入手する権利を与えています。

ガイドラインに違反した場合、違反がなかったとしても、この法律は消費者が会社に対して集団訴訟を起こすことを可能にします。違反は、1レコードで最大7,500ドルの費用がかかり、最大数百万ドルに膨れ上がる可能性があります。

この法律は、カリフォルニア州にある企業だけでなく、すべての企業に適用されることを覚えておいてください。

GDPRとCCPAを比較する

GDPR と CCPA はどちらも、権限を与えられたユーザーのみが個人データにアクセスできるようにすることの重要性を強調しています。最近実施されたCCPAは、GDPRから中核的な概念を借りてますが、相違点もあります。

そのため、今後のセキュリティおよびデータ処理戦略を計画する際には、GDPRとCCPAの間にはいくつかの重要な違いや対比があることを念頭に置いておくことが重要です。

  • 法的枠組みに関しては、CCPAではカリフォルニア州の居住者の個人データの収集について考慮されていますが、EU居住者のデータはGDPRの下で処理されると考えられています。つまり、個人情報の「収集、販売、共有」を強調するCCPAとは対照的に、GDPRは自動化された手段による個人データの処理に適用されることになります。さらに、CCPAが「消費者」に対して適用されるのに対し、GDPRは居住要件や市民権が明確ではない「データ主体」に対して適用されます。
  • GDPR の下では、EU 居住者は、処理された EU の個人データのすべてにアクセスする権利を有するが、CCPA の下では、カリフォルニア州の個人データにアクセスする権利は、過去 12 ヶ月以内に収集されたデータに限定されています。データが12ヶ月以上前に収集された場合は除外される場合があります。
  • CCPAとGDPRの両方とも、すべてのデータはユーザーフレンドリーなフォーマットでエクスポートされなければならないと規定しています。しかし、GDPRだけは、インポートされるすべての情報がユーザーフレンドリーなフォーマットで行われなければならないと規定しています。
  • GDPRでは、市民は処理されたEUの個人データの誤りを訂正する権利を持っています。この訂正権はCCPAには含まれていません。
  • 一定の条件の下で個人データを消去する権利は、GDPRとCCPAの両方に含まれています。

つまり、GPDRへの準拠はCCPAへの準拠を保証するものではないということです。この2つの間には多くの類似点があります。しかし、いくつかの重要な違いがあり、それがビジネスに大きな影響を与える可能性があります。

undefined

(Source).

ETLを使用したデータ保護の強化と最適化

データ漏洩は、それが偶発的なものであろうとなかろうと、あっという間に企業を廃業に追い込む可能性があります。そのため、保護ソリューションを積極的に導入することが不可欠です。

顧客の91%が誠実で透明性のある企業を信頼していることを考えると、CCPAとGDPRの両方に準拠することは顧客との信頼を築くのに役立ちます。この目的のために、さらに一歩進んでETLソリューションを導入する企業もあります。一般的には、生データを抽出、変換し、統合されたフォーマットでロードするために使用されます(多くの場合、ビジネスインテリジェンスの目的で使用されます)が、コンプライアンスを確保し、データガバナンスを維持するために、ETLパイプラインを実装することも可能です。

関連記事: What is ETL? An Introduction to Data Integration

ETLはGDPRとCCPAにどう影響を与えるか?

企業が大量のデータを扱う場合、機密データは様々な場所に分散している可能性があります。手動でのアプローチは非常に時間がかかり、残念ながら、しばしばエラーが発生し、データ漏洩のリスクを高めてしまいます。

対照的に、暗号化され自動化されたソリューションは、拡張性があり、再現性があり、はるかに効果的です。ETLは、複数のソースからデータを抽出し、機密情報をクレンジングしたり、強化したり、識別するための継続的なプロセスです。そのデータは暗号化され、データウェアハウスにロードされます。

例えば、顧客の名前、社会保障番号、郵便番号、電子メール、クレジットカード番号などの機密情報が検出された場合、それを積極的に暗号化することができます。

このステップは、消費者の安全と企業の成功に不可欠です。このステップに関連してキープロトコルを開発することで、企業はより高いセキュリティと機密性を継続的に確保することができます。

個人情報をハッシュ化することの重要性

データの保護は機密情報の検出から始まります。Xplentyの豊富な機能群を使えば、出力結果を自在に操ることができます。

例えば、コンプライアンスを維持するために個人情報をハッシュ化し、そのデータをマスキングすることができます。ハッシュ化は、意味のある(多くの場合、機密性の高い)情報を乱数に変換して、コピーはできるが、逆にはできないようにする一方通行のプロセスです。

例えば、社会保障番号が乱数に変換されている場合、それを元に戻すことはできません。しかし、元のデータを取り出してハッシュ化すれば、同一であることを確認することはできます。データ分析に個人情報が必要になることはほとんどないため、リスクを軽減するためにも、常に暗号化しておくことを強くお勧めします。

より多くの地域でプライバシー保護対策が実施されるようになると、規制へのコンプライアンスが成功に不可欠になるため、GDPRとCCPAの両方に対応したETLは、プライバシーコンプライアンスとセキュリティに関してさらに重要になってきます。次のステップに進む準備ができていて、すべてのデータソースを一緒に扱うことができるデータ統合プラットフォームを必要としている場合は、当社にご連絡いただき、完全なツールキットを入手してください。