コンプライアンスの定義:2019年にグローバルデータのプライバシーとセキュリティが目指すところ

公開: 2019-01-31

2018年5月に施行された欧州連合の一般データ保護規則(GDPR)のおかげで、昨年の春はマーケター、IT専門家、弁護士にとって少なからず忙しかったです。この変革的な法律は、私たちが知っていたようにデータのプライバシーとセキュリティを揺るがしましたこれは、EUだけでなく世界中で、企業が顧客データをどのように処理するかについて責任を負わせ、個人の情報を管理する権利を再強調することによって実現されます。

それ以来、 FacebookGoogleなどのテクノロジー大手が、個人データの使用方法やその他のコンプライアンス違反を適切に開示しなかったことに関連して、罰金やその他の法的措置に直面するケースが次々と発生しています。 さらに、GDPRは、データのプライバシーとセキュリティに関する会話と段階的なアクションの波を開始しました。これにより、この重要な領域の基盤が定着するまでにはほど遠いことが明らかになります。

2019年が始まると、世界中の大小のブランドが直面する大きな問題の1つは、グローバルなデータのプライバシーとセキュリティにとって新年はどうなるかということです。 ここBrazeには機能している水晶玉はありませんが、次善の策があります。法務、法務顧問、および企業秘書のSusan Wisemanと、副法務顧問兼上級ディレクター(EMEA)のMarjorieArmitageのSVPです。近年、この進化する空間の最前線にいる人々。 彼らが来年の彼らの予測を計画するのを見るために読んでください:

1)消費者のプライバシー権の強調はEU外に広がる

多くの法務担当者は、GDPRは、その中核となる法的な概念に関しては特に目新しいものではないと言うでしょう。 規制はしばしば曖昧で意図的にそうです—技術が進化するにつれて法律が柔軟で適切なままであることを可能にするための起草者による努力の一部です。 (結局のところ、GDPRに取って代わるEUの法律であるデータ保護指令は23年間施行されており、スマートフォンがスティーブジョブズの目にはほんのわずかだった頃にさかのぼります。)GDPRを群衆から際立たせるのはその方法ですEU諸国の市民を保護するために機能すること。 データのプライバシーとセキュリティをある種の基本的人権として描くことにより、法律は、EU市民の個人データを扱う他の国の組織がこれらの問題とコンプライアンスを真剣に受け止めることを確実にするために多くのことを行います。

実際、EUおよび世界の他の多くの国では、個人データを保護するための厳格な法律があります。 EUは、企業がEUから同様に厳格な法律を持つ他の国に個人データを転送することを許可しています。 EUは、これらの国を「適切な」管轄区域と呼んでいます。 ただし、たとえば、現在EUの基準で適切であると認識されていない米国に拠点を置くメディア企業の場合は、EU内の顧客からの個人データを処理できます。米国の法律の要件を超える方法で個人データを保護することについて、顧客と合意しました。 これを行うには、プライバシーシールドに自己証明するか、顧客とモデル条項に署名します。 プライバシーシールドとモデル条項はどちらも、米国への個人データの転送を検証するのに役立ちます。 EUによって承認された方法なしでそうすることは、EU法の違反になります。

国が適切性を達成するのは難しい場合があるため、これらのタイプの合意は非常に重要です。 たとえば、米国にはGDPRに準拠した包括的な国内法がまだないため、米国を拠点とする企業は、顧客とモデル条項に署名した場合、または自己認証を取得した場合にのみ、EUの個人データを処理できます。 EU-USプライバシーシールドフレームワークへの移行—これにより、EU企業はEU市民の個人データを米国企業に転送できます(たとえば、Brazeのように!)

2)米国はおそらく2019年に連邦データプライバシー法を起草しないでしょうが、州法は採用されるでしょう

米国にはEUのデータ保護当局が要求する基準を満たす国内法がないことは事実ですが、消費者データのプライバシーとセキュリティに関しては、州ごとにゆっくりと、しかし確実に見始めています。法律が施行されます。

昨年、カリフォルニア州は、カリフォルニア州消費者プライバシー法の制定により、新しいデータプライバシー法を可決した国内初の州になりました。 この法律は、米国のデータプライバシー要件に関して画期的であり、消費者にデータアクセスと消去の権利を保証するだけでなく、企業がサードパーティのデータ処理契約を更新して、定められたコントローラー/プロセッサーのルールを彷彿とさせる方法でコンプライアンスを確保することを義務付けていますGDPRで、米国で他に類を見ない要件の中でも

2018年5月にGDPRの施行が発効したとき、多くの米国企業がこの主要な新しい規制に対処することを選択しまし。 つまり、EUに顧客がいない一部の組織は、EUに顧客がいないため、GDPRコンプライアンスに向けて努力しないことを選択しました。 一方、EUに顧客を抱えていた他の企業は、新しい法律に従おうとするのではなく、顧客を締め出すことを選択しました。 米国の主要な技術およびメディアハブであるカリフォルニアの一部のブランドもこのボートに陥りました。ロサンゼルスタイムズがEUでウェブサイトを完全に削除したことを覚えているので、GDPRに準拠する必要はありませんか? さて、現在、これらの同じ企業は、2020年1月1日に施行が開始される前に、カリフォルニア州消費者プライバシー法に準拠するまでに1年もかかりません。

全体として、米国を拠点とする企業(大小、新規、確立済み)が、顧客データのプライバシーとセキュリティの権利が与えられる現実に向かって動き始めることは非常に重要です。 GDPRを受けて、カリフォルニアはまったく新しいデータプライバシー法を可決した最初の州でしたが、ルイジアナ、アラバマ、コロラド、バージニアなどの他の州では、データプライバシーに関する既存の法律を強化するための措置を講じています。 (さらに、バーモント州は以前、データブローカーの規制を強化し、最低限のセキュリティ基準を設定する新しい法律を可決しました。)

米国連邦政府が今年GDPRスタイルの連邦法を起草するための措置を講じる兆候は今のところありませんが、州ごとのデータプライバシーに関するパッチワークの拡大と新しく強化された法律は企業にとって重要な兆候です彼らは現在データをどのように扱っているかについて真剣に考える必要があるということです。 そうしないと、新しい全国法が施行されるか、州ごとの法の鼓動が消費者データの処理と管理の方法を見直しずに米国内でビジネスを行うことを不可能にするときに、盲目的になるリスクがあります。

この米国議会が[全国的なプライバシー]法をすぐに可決する可能性は低いです。 それにもかかわらず、プライバシーは明らかに人々の心にあります。 米国でも、プライバシーの権利とより良い、より多くの法律の必要性に勢いが増し、強調されています。 新しく抜本的な連邦プライバシー法を見る代わりに、カリフォルニアが昨年CCPAで行ったのと同様の法律を制定する州がたくさんあると思います。

スーザンワイズマン、法務担当上級副社長、法務顧問、ブレイズの企業秘書

3)プライバシーバイデザインは新しい標準になります

「プライバシーバイデザイン」とは、業界標準のセキュリティ慣行を使用して個人データを保存、保護、転送、および処理し、個人データに関する消費者の要望に従うことを目的として、システムが最初から構築されることを保証することを意味します。 しかし、この概念はしばらく前から存在していますが、GDPRは、コンプライアンス要件の一部としてそれを含める最初の規制です。 GDPR内の設計によるプライバシーと見なされるもののパラメーターはややあいまいですが、準拠している企業がデータの安全性を念頭に置いてシステムを設計するための対策を講じていることを確認します。

会社が「プライバシーバイデザイン」の基準を満たしていることを確認するには、情報の管理に関して慎重さと警戒が必要です。 データがどこから来ているのか、どの個人やシステムがデータにアクセスしているのか、いつアクセスまたは使用できないのかを知る必要があります。 データのプライバシーとセキュリティの強力な概念を最初から統合するデータ管理システムとプロセスを構築すると、これらすべてがはるかに簡単になります。

GDPRは、データが組織によってどのように使用されているかを消費者に明確に理解させ(膨大な法的文書を読まなくても)、いつでもデータ設定を簡単に変更できるようにし、彼らが選択するときはいつでも彼らの情報の消去を要求する。 プライバシーもデフォルトでこの概念に適合します。つまり、顧客が設定を更新していない場合、デフォルト設定は最高レベルのデータ保護と制御である必要があります。 マーケターがよく知っているように、これらの種類の制限は、顧客体験に悪影響を与える場合があります。たとえば、ライドシェアリングアプリのユーザーは、自分の場所へのアクセスを提供しないと、かなり苛立たしい体験をすることになります。 つまり、企業はクリエイティブな(そして準拠した!)メッセージングを使用して、ケースの消費者に、企業が個人データを使用してより関連性が高く、より影響力のあるエクスペリエンスをサポートできるようにすることに真の価値があると判断させる必要があります。

GDPRは、テクノロジーの進化を可能にするために、コンプライアンスがどのように見えるかという点で意図的に広められました。 インターネットが爆発的に普及したため、データ保護指令の特定の側面は約5年以内に古くなったため、議員はGDPRがテクノロジーにとらわれないように細心の注意を払いました。

Marjorie Armitage、アソシエイトゼネラルカウンセルおよびBrazeのシニアディレクター(EMEA)

4)企業はますますサードパーティの検証を求めます

GDPRに固有の意図的なあいまいさは法律の中心であり、そのあいまいさは、法律の遵守を検討している多くの企業にとって大きな障害となっています。 しかし、ありがたいことに、同じ曖昧さにより、企業はデータのコンプライアンスに準拠した処理がどのように見えるかを決定するために集まり、テクノロジーの成長と進化の余地も与えられました。 また、データプライバシーに関してあなたの会社が実際にあなたが主張することを行っていることを証明することは、GDPRコンプライアンスの重要な要素であるため、サードパーティの検証システムはブランドにとってますます重要になります。

それはどのように見えますか? Brazeでは、データのプライバシーとセキュリティを優先することに重点を置いているため、システムとプロセスのサードパーティによる検証を追求することになりました。最近では、SOC 2、Type 2、ISO27001の両方の認証を正常に完了しました。 2018暦年。 ISO認定は、組織がセキュリティリスクの包括的な評価を実施し、ISOのグローバル情報セキュリティ管理基準に定められた要件に準拠する情報セキュリティ管理システム(ISMS)を作成し、受領企業が業界標準を達成していることを確認します。セキュリティプロトコル。

これらの規格は、ISOのグローバル規格設定プロセスの下で世界中の利害関係者によって決定されます。 実際、私たち自身のMarjorie Armitageは現在、GDPRコンプライアンスに関連する業界のプライバシー基準を決定するために活動しているヨーロッパの標準化団体の英国で働くサブグループの共同議長を務めています。 また、新しいデータプライバシー規制に関連する標準の数が増えるにつれ、このような標準の認証を探して、消費者と規制当局の両方にコンプライアンスを証明しようとしている企業のテーブルステークになります。

説明責任は常にデータ保護の重要な原則でしたが、GDPRは最終的にそれを法律で成文化しました。 自分が準拠していること、および自分が言っていることをすべて実行していることを示すことができる必要があります。

Marjorie Armitage、アソシエイトゼネラルカウンセルおよびBrazeのシニアディレクター(EMEA)

最終的な考え

テクノロジーにより、企業は顧客とその行動についてこれまで以上に豊かで微妙な見方をすることが可能になりましたが、その理解を促進する詳細な顧客データの使用は、ブランドとそのユーザーにも同様にリスクをもたらす可能性があります。 データを効果的に活用することの一部は、顧客があなたに委託した情報を保護するために必要なプロセス、ツール、および知識を確実に入手することです。

それは私たちが自分自身を見つける世界であり、リスクと報酬は、テクノロジーが進歩し、消費者の行動が変化するにつれて大きくなるだけです。 GDPR、HIPAA、およびデータセキュリティが顧客エンゲージメントに与える影響に関する最新情報に関する重要な考慮事項について詳しくは、BrazeSecurityRoundupをご覧ください