ストリーミングデータアーキテクチャについて知っておくべき基礎知識
強力なストリーミング・データ・アーキテクチャを構築することは、今日のデータストリームの爆発的な増加の中で生き残り、成功するために必要なことです。
企業がソフトウェア製品を完成させるために必要なのは、人材やインフラだけではない。結局のところ、企業の製品やサービスを利用する顧客は顧客志向なのだ。顧客の最後の支払い、以前のログインサイトなど、一見無意味に見えるデータは、企業に思いがけない貴重な洞察をもたらす。
最近では、情報機器のセキュリティを最適化するために、ML(機械学習)をセキュリティ管理システムに統合する方法が知られているが、データ損失は依然として多くの理由で発生している。そのため、企業はデータ処理契約書の作成に注意を払い、世界中のいくつかの個人情報保護法の下でのコンプライアンス違反による罰金を回避する必要がある。
データ処理契約は、個人データを取り扱う事業者の義務を遂行するために、データ主導の業務において極めて重要な役割を果たします。しかし、データ処理契約とは一体何なのでしょうか?この記事では、データ処理契約について必要な情報を提供することで、この種の契約に関する疑問を解消します。
DPA(データ処理契約)とは?
DPAとも呼ばれるデータ処理契約は、データ処理に関わるデータ保護義務と権利の概要を示す法的拘束力のある契約です。この契約書は通常、企業のようなデータ管理者とデータ処理者(サービス・プロバイダーの場合もある)の間で締結されます。
データ処理に関する補遺は、企業による消費者データの使用、個人データ処理の範囲と目的、および両者の関係を規制することを目的としている。具体的には、このような個人データに関する明確な期待とデータ保護規制を設定することで、DPAは必要かつ関連性のあるデータのみが収集・処理されるようにし、過剰なデータ収集のリスクを最小限に抑える。
例外的なケースとして、DPAは、データ処理が行われるデータ主体の署名を要求する場合があり、特に、ある種の処理活動に対してデータ主体の明示的な同意が必要な場合には、その署名を要求することができる。データの蓄積につながる違反は、データ処理契約の締結が完了した後の法律違反であっても、契約違反とみなされます。したがって、継続的なデータの安全性と透明性を確保し、両当事者の利益を確保するためには、DPAの詳細を遵守することが必要かつ十分な条件となります。
誰がDPAに署名し、どのような責任を負うのか?
データ処理協定の締結者は、その名称や立場にかかわらず、データ管理者とデータ処理者の2者に大別され、それぞれ異なる役割と責任を負う。
データ管理者
データ管理者の具体的な責任は、管轄区域ごとに適用されるデータ保護法および規制によって異なる場合がありますが、データ管理者の具体的な義務は一般的に、機微(センシティブ)データの管理、使用、および保護を中心に展開されます。
データ管理者は、処理システムの目的と手段を決定する法人または個人である。データ対象者の同意を得た後のデータ処理手順および使用目的に関する最終的な権利を持つ彼らは、そのような個人顧客データが適用されるデータプライバシー法を遵守して処理されることを保証する責任を負います。
収集されたデータの重要性から、データ管理者はデータを合法的に管理するだけでなく、保有する個人データの正確性と完全性を確保し、古いもの、不正確なものなどのデータ品質の問題を回避し、価値ある情報に分析する責任がある。
データ主体が、データへのアクセス管理、修正、ポータビリティなど、データに関する要求がある場合、データ管理者は、法的に要求された期限内にそれらを処理する責任も負う。
データ管理者は以下の通り:
- 電子商取引会社:Eコマース・プラットフォーム上のオンライン・マーケットプレイスは、ショッピング行動や過去の購入プロセスにおける顧客データを収集し、管理者とみなすことができる。
- ソーシャルメディアプラットフォーム:FacebookやInstagramは、コンテンツのパーソナライズやターゲット広告のためにユーザーから個人データを収集し、管理者として機能します。
- 医療提供者:医療のために患者データを収集・処理する病院はデータ管理者である。
データプロセッサー
第三者のデータ処理者は、データ管理者に代わって個人データを処理する団体または個人です。そのため、データ処理者はデータ管理者の指示の下で行動する責任を負い、データ保護契約においてデータ管理者が定めたすべての条件、特に指定された目的および合意された条件に従ってのみデータを処理する義務を負います。
データ処理者の役割は、通常、特定の企業のために個人データを転送し、整理し、 処理する行為に関連する様々な業務を含む。この当事者は、偶発的なアクセス、破壊、改ざん、または使用に対するデータ保護を最適化するために、技術的および組織的措置が適切に機能することを保証します。
データ管理者と同様に、処理者もデータの正確性と最新性を維持しなければならない。同時に、データ主体の権利に基づき、顧客の個人データが不正確である場合、それを消去または訂正するためのインフラストラクチャ・ソリューションを適時に準備する。
データ処理業者には、以下のようなものがある:
- サービス・プロバイダー: オリエント・ソフトウェアのような企業は、データ処理者として機能する顧客に代わって、ソフトウェア開発、保管、データ処理のアウトソーシング・ソリューションを提供する。
- マーケティング代理店:Eメールマーケティングやターゲット広告などのマーケティングキャンペーンのために顧客データを取り扱う代理店は、プロセッサーとみなされる可能性がある。
- 支払処理会社:StripeやPayPalのように、支払取引や金融取引に関連する個人データを処理する組織は、データ処理業者です。
DPAとGDPRコンプライアンスの関係とは?
GDPR(一般データ保護規則)は、欧州連合(EU)および欧州経済領域(EEA)内での個人データ処理に関する特別な要件を定めたデータ保護規則である。つまり、EU域内の住民を対象としたり、データを収集しようとする組織は、GDPR遵守のルールに従わなければならない。特定のプライバシーとセキュリティに関する法律を定めることで、EUは個人の基本的権利と自由を確実に保護している。
一方、DPA(データ処理契約)は、データ管理者が第三者に代わって個人データを処理するよう協力する場合に、GDPRの下で要求されます。GDPRに概説されている原則と基準を運用し実施する手段として、DPAを確立することは、両者が個人データ処理、透明性、説明責任について明確な理解を得るのに役立ちます。
このように重複しているため、DPAはGDPRデータ処理契約と呼ばれることもあるが、その機能は同じであることに注意することが重要である。
DPAの例とは?
企業の製品やサービス開発のニーズに応えるために、EU域内の人々の情報や機密データを使用する場合、データ処理協定の締結が必要となる。
実際、DPAは皆さんが思っている以上に生活の様々な場面で存在しています。あるITアウトソーシング企業が、EUの顧客に請求書作成ソフトウェア開発サービスを提供したとする。ソフトウェア開発プロセスを円滑に進めるためには、サードパーティ・ベンダーがここにいる人々のユーザーデータを収集しなければなりません。この場合、EUの顧客はデータ管理者として詳細なDPAを提供し、アウトソーシング会社はデータ処理者としてGDPRの方針に従って顧客のデータを処理する責任を負う。
データ処理契約に含まれる必須要素とは?
DPAは、その地域のデータ保護法の基準を満たし、個人の権利を保護するために非常に重要であるため、以下のすべての要素を含むデータ処理契約を構築することが極めて重要です。
- 関係者:データ管理者とデータ処理者は、DPAにおいて明確に定義され、名指しされるべき対象である。
- データ処理の範囲と目的:性質、目的、対象期間、処理されるデータの種類、事項などの小要素を完全にカバーしていることを確認してください。
- データ保護義務:このセクションでは、EU居住者のデータに関する一般データ保護規則(GDPR)を含む、データ保護法に基づいて両当事者が遵守しなければならない義務の概要を説明します。
- 権利と責任:データ管理者(法的手続きの確立、エンドユーザーの権利擁護など)およびデータ処理者(情報セキュリティの維持、データ違反の報告、監査許可など)のすべての責任を概説する。
- セキュリティ対策:DPAは、データ・セキュリティーを確保するための技術的・組織的措置の実施を詳述す べきである。
- サブプロセッシング:特定の処理活動を実施するためにサブプロセッサーを使用する場合は、その旨をDPAに明記すること。
- データ漏洩の手順:協力期間中にデータ漏洩が発生した場合のリスク管理方法を含む。
データ漏洩が発生したらどうするか?
データ管理者と処理者は常に協力し、消費者データに対する最高レベルのセキュリティを確保しなければならない。しかし、不可抗力やどちらか一方の当事者のセキュリティの甘さが原因で個人データが流出したとします。その場合、データの拡散を防ぐよう努めることは、DPAに関わるすべての者の責任である。
その第一歩として、データ処理者は直ちにデータ管理者に通知する必要があり、いかなる場合であってもそのような情報を保留することはできない。データ管理者は、落ち着いて、個人データ漏洩に関する情報の正確性を確認し、漏洩した情報の種類、影響を受けた人の数、その人たちの連絡先の有無を確認するなどのセキュリティ分析作業を行う必要がある。
データ管理者がデータ侵害または潜在的なリスクを発見した事業者である場合、データ管理者はそれに気づいてから72時間以内に適切な監督当局に報告する責任があることに留意すること。データ処理者については、管理者への到達を報告するのに遅延があってはならない。
情報漏えいの影響を最小限に抑えるために、両当事者は、可能であればデータを封じ込め、回復するために、利用可能なすべてのソリューション、技術、ツールを使用するという最も重要な段階に進みます。必要に応じて、データ保護影響評価(DPIA)の助けが必要になることもあります。情報漏えいがデータ主体の権利に影響する場合、影響を受ける個人への通知は必須です。
概要
セキュリティ上の問題を徹底的に排除し、個人情報保護法に関連する不必要な損害を抑えるためには、すべての当事者がDPAを慎重に検討し、その条項を理解し、契約に概説されている義務を遵守する意思があることを確認することが不可欠である。
上記のデータ回避ガイドラインは、ほとんどのケースで参考となる一般的なガイドラインに過ぎない。しかし、情報漏えいの性質や組織の管轄区域は多様である可能性がある。企業は、特定の状況に合わせたより良い指針を得るために、サイバーセキュリティのアウトソーシング・チームや関連当局のような法律の専門家に相談すべきである。
ソフトウェア開発のセキュリティ維持におけるDPAの重要性は否定できない。しかし、一般的なサイバーセキュリティリスクを遵守するための専門知識とツールを備えた十分な人材がいなければ、オンラインデータ処理契約は何の役にも立ちません。信頼できるサードパーティをお探しなら、充実したサービスパッケージのオリエントソフトウェアがあなたのビジネスの成長をお手伝いします。今すぐメッセージをお寄せください。
関連トピック
ビッグデータ分析とビジネスインテリジェンス:何が矛盾しているのか?
ビッグデータ分析とビジネスインテリジェンスが異なるものでありながら、補完し合うものであることをご存じない方もいらっしゃるかもしれません。
ビッグデータ課題と最善の解決策とは?
ビジネスの成長を後押しするビジネス・インテリジェンスの未来だと考えられているが、それは多くのビッグデータ課題を意味する。
ビッグデータと予測分析があなたのビジネスにもたらすものはここに
ビッグデータと予測分析は、さまざまなビジネス上のメリットをもたらし、より多くの情報に基づいたデータ主導の意思決定が可能になり、ビジネスの成長を支援します。
データ品質に関する8つの一般的な問題と、それを克服するための専門家のソリューション
データ品質はビジネスの成長に大きく影響します。ここでは、データ品質に関する最も一般的な8つの問題を解決するための専門家のアドバイスを紹介します。