Covid およびパンデミック後の世界におけるデータのプライバシーと保護の課題

公開: 2020-09-04

Covid-19の影響による急激なデジタルシフトは、コンプライアンスに大きな課題をもたらします

ほとんどの組織は、収集するデータの基本的な理解を持っておらず、収集の理由と目的は言うまでもありません

インドのデータ プライバシーと保護の法的枠組みは、2019 年個人データ保護法案という形で飛躍的な進歩を遂げようとしています。

Covid-19 パンデミックは、個人、政府、企業が実質的にあらゆる分野で機能する方法を大規模に混乱させ、混乱させ続けています。 この混乱の最大の兆候は、このパンデミックがもたらす課題に取り組むための技術的ソリューションの採用の増加に見られます。

現代法の主なハイライト

2000 年情報技術法 (IT 法) は、2011 年情報技術 (合理的なセキュリティ慣行と手順、および機密性の高い個人データまたは情報) 規則 (機密性の高い個人データ規則) と合わせて読むと、個人情報および機密性の高い個人の収集と処理を管理する主要な法律です。データまたは情報 (センシティブな個人データ) をセクター中立ベースで。

機密個人データ規則では、主に以下を機密個人データとして指定しています。

  • パスワード
  • 銀行口座、クレジット カード、デビット カード、その他の支払い手段の詳細などの財務情報
  • 身体的、生理的および精神的健康状態
  • 性的指向
  • 医療記録と病歴
  • 生体情報

機密性の高い個人データは、情報の提供者からの同意を得ることを含め、機密性の高い個人データ規則の条項を遵守することにより、法人によって収集される場合があります。

Covid-19によって導入されたコンプライアンスの課題

Covid-19 の影響により引き起こされた突然のデジタル シフトは、インドのデータ プライバシーに関連するコンプライアンスに対する一般的な見通しを考慮すると、コンプライアンスに大きな課題をもたらします。 Covid-19 の影響でリモートで作業するようになったことで、データのプライバシーと保護に対処する能力が不足しているため、ほとんどの組織にとってデータのプライバシー、セキュリティ、および管理が大きな懸念事項となっています。

あなたにおすすめ:

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

さらに、Covid-19のために実施された特定の対策がありました。たとえば、温度記録や従業員と訪問者のスクリーニングなどですが、ほとんどの場合、適切な保護手段やコンプライアンスの順守なしに実施されています. もう 1 つの懸念事項は、サイバーセキュリティへの投資の不足と、データ セキュリティなどの問題を扱う有能な人材の不足です。

できること

データ マッピング

ほとんどの組織は、収集するデータの基本的な理解さえしていません。ましてや、そのような収集の理由や目的は言うまでもありません。 これらは、ノットの速度でデータを収集しているが、データ慣行の基本的な監査さえしていない小売などの顧客中心のセクターでは特に有害です. 組織内でデータを処理するための健全なシステムの基盤を確立できる基本的な方法は、処理されるデータの種類と量を分析し、そのようなデータへのアクセスを必要とする可能性のある目的と潜在的な部門にそれらをマッピングすることです。

考慮すべき質問

  • ビジネスにとってデータはどれほど重要ですか? ビジネスにデータが必要ない場合、なぜデータが収集されるのですか?
  • データが物理的な資産と同じように資産である場合、誰がアクセスできる必要があり、組織内でデータをどのように保護する必要がありますか?

組織能力の構築

データのプライバシーと保護は、サイロで考えないのが最善です。 言うまでもなく、CISO と CTO を混同することは、組織の能力を特に適切に反映するものではありませんが、最終的には、組織に関与するすべての人が、データ保護の価値を理解するように敏感になる必要があります。 定期的なトレーニング セッションや、組織内のデバイスとネットワークの使用に関する明確なポリシーなどの手順は、コンプライアンスに対する非常に費用対効果の高いソリューションとなる可能性があります。

考慮すべき質問

  • 専有データと顧客情報の機密性を確保する従業員の責任をカバーするポリシーはありますか?
  • 組織内のデータ保護を確実にするために、特定の担当者に明確な責任が割り当てられている責任マトリックスはありますか?

サイバーセキュリティにとっての重要性

多くの場合、組織はそのようなソリューションを実装するためのコストに悩まされますが、データを保護するための努力は、それらがなければ空虚な努力になります。 興味深いことに、多くの組織は、クラウド プロバイダーなどの IT サプライヤーが使用するサイバーセキュリティ基準を考慮していません。 社内で IT を使用している組織は、ギャップ分析を行って、既存のコンプライアンス レベルと不足している領域を理解することを検討できます。 これは、組織が商業的な懸念を適切に保ちながら達成できるデータ保護のレベルを決定するための出発点となります。

考慮すべき質問

  • IT/クラウド プロバイダーのサイバーセキュリティ基準を監査するメカニズムはありますか?
  • 事業継続や復旧など、侵害やサイバー攻撃が発生した場合の明確な方針と対策はありますか?

結論

Covid-19 により、組織はすでにデジタルへの飛躍を余儀なくされており、課題であることがすでに証明されています。 しかし、インドのデータのプライバシーと保護に関する法的枠組みは、2019 年個人データ保護法案という形で大きな飛躍を遂げようとしています。この法案は現在、合同議会委員会によって検討されています。 Covid-19 のパンデミックが過ぎ去れば、今こそ組織が既存の慣行のオーバーホールを積極的に検討し、ビジネスが繁栄できる新たな夜明けの到来を告げる重要な時期です。

[この記事は、Khaitan & Co の Supratim Chakraborty (パートナー) と Sumantra Bose (Senior Associate) によって共著されました]