GDPRコンプライアンスチェックリスト–監査要件の説明

チュートリアル

GDPRコンプライアンスチェックリスト – 監査要件の説明。 一般データ保護規則(GDPR)は、EU市民のプライバシーを保護することを目的としています。したがって、EU市場にサービスを提供するすべての企業は、GDPR要件を遵守する必要があります。主に、これはEU市民を保護し、オンラインデータに対する彼らのコントロールを与えるために作成された法的枠組みです。

したがって、GDPR規則は、ユーザーの同意なしにユーザー情報を取得する組織を防止します。データの収集と使用にはユーザーの許可が必要です。最も重要なことは、GDPRが完全なプライバシー保護を提供し、市民が誰がデータを収集、分析、使用できるかを選択できるようにすることです。

この記事では、GDPR コンプライアンス要件について、認証を取得するために組織が満たす必要がある要件について説明します。

GDPRコンプライアンスチェックリスト – 監査要件の説明から始めましょうか?

さらに読むSOXコンプライアンスチェックリスト – 監査要件の説明(ベストプラクティス)GDPRは誰に適用されますか?

誰にGDPRが適用されるのか?

まず、GDPRは欧州連合(EU)およびイギリスの市民の保護を目的として設計されています。したがって、これらの地域内で活動するすべての組織は、要件に準拠しなければなりません。また、EUおよびイギリス以外の企業も、地域からのデータを処理する場合は、GDPR準拠を遵守する必要があります。たとえば、EUおよびイギリスからのデータを処理する米国企業は、GDPRに準拠しなければなりません。

データ処理が事業の中心的な部分でない場合、一部のGDPR要件が適用されない場合があることに注意することが最善です。基本的に、データ処理を行わない場合は、データ保護責任者(DPO)を任命する必要はありません。

同時に読むべき記事脅威インテリジェンスツールプラットフォームのトップ10(メリットとデメリット)

10のGDPR準拠要件

GDPR準拠チェックリスト – 監査要件で、あなたが知っておくべきことは、GDPRは、組織が準拠するために満たさなければならない10の要件を持っていることです。これらは次のとおりです:

1. 公正で透明で違法性のないデータ処理

すべての中で、GDPRは組織がユーザーのデータを処理する際に合法的な理由を文書化することを求めています。まず、個人に個人データの収集について通知する必要があります。次に、組織が個人データを収集および処理する理由を有効なものとして提供します。その後、すべてのデータ処理は合法的な目的に基づいて行われなければなりません。

すべての考慮事項を考慮すると、組織はデータ保管の特定の期間を明示する必要があります。また、データ収集または処理プロセスに変更がある場合は通知する必要があります。

2. データ保護ポリシーの見直し

GDPRに準拠するためには、データ保護ポリシーを実施する必要があります。すでにデータ保護ポリシーを持っている場合は、定期的に見直し、最新の状態に保つ必要があります。その結果、データ保護ポリシーは設計による情報プライバシーを提供する必要があります。実施されるすべての技術的および組織的な措置はデータコンプライアンス措置を統合しなければなりません。

指摘されているように、GDPRの規定に準拠して定期的な監査も実施する必要があります。主な目標は、データの収集、保管、および処理が安全であることを検証することです。また、システムが特定の目的のために必要なデータカテゴリを処理することも確認してください。

3. データ保護影響評価(DPIA)を実施する

GDPRコンプライアンスチェックリストの次の要件は、非常に機密性の高いデータを扱う組織に対するもので、データ保護影響評価(DPIA)を実施する必要があります。DPIAは、組織のデータ処理活動がユーザーに及ぼす可能性のある影響を調査します。

A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.

4. 適切なデータセキュリティ対策を実施する

同時に、GDPRは組織に適切なデータセキュリティ対策の実装を求めています。不正なユーザーがデータにアクセスするのを防ぐために、適切なサイバーセキュリティツールと対策を実装する必要があります。理想的には、ネットワークとデータセキュリティツール、アクセス制御、およびインサイダーリスク管理ツールを実装する必要があります。

データセキュリティツールには、データバックアップ、ウイルス対策、データ損失防止(DLP)システム、データ暗号化およびトークン化が含まれます。さらに、VPN、ファイアウォール、および層状のネットワークセキュリティを使用して会社のネットワークを保護できます。重要なステップは、リアルタイムのネットワーク監視を実装し、ネットワーク内の異常な活動を検出するのに役立ちます。

アクセス制御は、認可されたユーザーのみがデータにアクセスできるようにします。組織の性質に応じて、最小特権アクセス、マルチファクター認証、アイデンティティおよびアクセス管理を実装できます。内部者の脅威を最小限に抑えるために、従業員の監視とユーザーの行動解析を実装できます。

5. ユーザーのプライバシー権利の実装

同様に、GDPRはユーザーにさまざまな プライバシー権利 を提供し、データに対する制御を確保します。要するに、組織がデータユーザーに付与すべき8つの権利があります。これには次のものが含まれます:

また、次を参照 PowerShell(GPO)を使用してActive Directoryグループポリシーレポートを作成する

情報提供の権利

個人に収集するデータの種類と使用方法を通知します。また、データが必要かどうか、第三者と共有されているかどうかを通知する必要があります。

アクセス権の権利

明らかに、GDPRは組織にユーザーへのデータアクセスを許可することを要求しています。どんな個人でも、データ主体アクセスリクエスト(DSAR)を提出することができます。これにより、組織は関係者にデータのコピーを提供する義務が生じます。例外が適用される場合を除き、このデータをリクエストから1ヶ月以内に提供する必要があります。

訂正権

組織は、データが不正確または不完全である場合、ユーザーデータを訂正する必要があります。ユーザーは、組織に修正を依頼することができます。

消去権

A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.

異議権

ユーザーは、データ収集や処理に異議を唱える権利を持っています。これは、合法的な目的であっても、組織がユーザーの権利と自由を優先する有効な理由を提供しない限り適用されます。

携帯性の権利

処理制限の権利

意思決定権

GDPRは、データが人間の介入なしに自動的に処理される場合に厳格なルールを定めています。個人は、組織がルールに従っていないと信じる場合、処理を問い合わせて処理の見直しを依頼する権利があります。

Also Read Office 365ライセンスレポートを実行してライセンスコストを削減

6. GDPR遵守の文書化

適切な文書化は、GDPR 遵守のために不可欠です。すべてのデータがルールの範囲内で法的に処理されていることを当局に示してください。組織のデータフロー処理が設定されたルールに従っていることを示すGDPRダイヤリーマップを保持できます。

7.データ保護担当者(DPO)の任命

A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.

A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.

DPOの役割は次のとおりです。

  • データ取り扱い手順の監視。
  • 組織とGDPR規制当局の間のインターミディアリーとして機能します。
  • 組織に最良のGDPR遵守の実践について助言します。
  • 正確なデータ保護影響評価を提供する。

タスクの性質上、DPOはGDPRの法律とベストプラクティスを適切に理解する必要があります。

また読むPowerShellを使用してActive DirectoryユーザーとコンピューターからSIDを見つける

8.データ漏洩の報告

さらに、GDPRはデータ漏洩を即時に報告することを要求しています。プロセッサとコントローラは、検出後72時間以内にデータ漏洩を報告する必要があります。ただし、これは必須ではありません。インシデントがユーザーの権利と自由に損害を与えない場合。データプロセッサは、データコントローラに通知する必要があります。データ保護機関(DPA)を通知する必要があります。

したがって、DPAにデータ漏洩の性質についての説明を提供する必要があります。また、データ主体の数とその可能性のある結果に関する情報を提供してください。文書では、データ漏洩の影響を抑えるために講じられているすべての対策を述べています。

9.従業員研修

GDPRは、組織に対して、データ侵害のリスクを最小限に抑えるために従業員に要件とデータ保護手順に関するトレーニングを行うことを求めています。すべての従業員に個人データのプライバシー、潜在的なサイバーセキュリティの脅威、および非準拠の結果について教育してください。トレーニングプログラムでは、データ処理の意識を強調してください。さらに、トレーニング資料はサイバーセキュリティの侵害の関連する例を定期的に更新する必要があります。

10. 定期的に第三者リスクを評価する

同様に重要なことに、GDPRは組織に対して第三者が引き起こすセキュリティリスクを評価することを求めています。組織は第三者との連携によるデータ侵害を防ぐための是正メカニズムを実装する必要があります。

GDPRコンプライアンスチェックリスト-監査要件の説明に続いて、GDPRの原則について説明します。

Active Directoryコンプライアンスとセキュリティ&Azure ADを改善する

無料でお試しください、すべての機能にアクセスできます。- 200以上のADレポートテンプレートが利用可能です。独自のADレポートを簡単にカスタマイズできます。さらに読むAzure ADモニタリングツールを使用してセキュリティを劇的に向上させるGDPRの原則




また読むAzure AD監視ツールを使用してセキュリティを大幅に改善する

GDPRの原則

GDPRにはさまざまな原則があり、その多くの要件を要約しています。例えば、個人情報の取り扱い、保管、処理の原則を定義しています。GDPRの7つの主要原則は次のとおりです。

合法性、公平性、透明性

すべての個人情報の処理は、公正で合法的な根拠で行われるべきです。さらに、個人情報の所有者には、その個人情報がどのように収集、使用、処理されているかを透明にする必要があります。この原則はまた、個人情報に関する情報がアクセス可能で、明確で平易な言葉で表示されることを要求しています。さらに、ユーザーが同意を与える場合、組織は法的義務を履行する必要があります。収集しているデータに関する情報を隠すべきではありません。

目的の制限

2番目のGDPR原則は、データ使用活動に制限を設けます。つまり、プライバシー通知で伝えられた確立された目的のためにのみデータを処理します。明示された目的以外の目的でデータを処理しないでください。データ主体とのコンセントのためにコミュニケーションを行う必要があります。

データ最小化

目的に必要な最小限のデータのみを収集してください。たとえば、ユーザーの連絡先情報(メールアドレスなど)が必要な場合、特定の目的に関連しない不要な情報(物理的な場所、電話番号など)を要求しないでください。

正確性

収集および保存するデータの正確性を常に確認してください。理想的には、データが正確で完全であるかどうかを確認するための監査プロセスを持っているべきです。

保存期間の制限

ユーザーデータを保持しようとしている量を記載し、正当化してください。これにより、不要なほど長くデータを保持しないことが保証されます。組織がそのニーズを達成した後、データを直ちに削除するべきです。組織が必要以上にデータを保持する必要がある場合は、保持期間を設定し、正当化する必要があります。

完全性と機密性(セキュリティ)

GDPRは、組織がユーザーデータを処理する際に、そのセキュリティと保護を確保するよう要求しています。理想的には、あらゆる処理活動が、データが損傷や破壊、違法な処理、偶発的な損失から保護されるべきです。本質的に、あなたの組織は、個人情報を保護するための最善の措置を講じるべきです。これらの措置には、脆弱性評価データ暗号化、オフサイトのバックアップの作成などが含まれます。

責任

この原則は、組織がユーザーデータを処理する際の責任を取ることに関係しています。データプロセッサとして、あなたは、GDPRに従って個人情報を処理する際に責任を持つべきです。基本的に、あなたは、さまざまな要件を履行することにコミットし、適切に文書化するべきです。

また読む:Office 365管理ツールを試してください

GDPR監査の実施方法

同様に、GDPR適合性監査は、個人情報監査の性質に応じて組織によって異なります。認証を取得する前に、組織は適合性レベルを評価するために監査を実施する必要があります。GDPR監査は、サイバーセキュリティとデータガバナンスに重点を置いています。ここでGDPR適合性チェックリスト – 監査要件に関して、GDPR監査に含まれるステップは以下の通りです:

1. GDPR監査計画の作成

GDPR監査への最初のステップは、監査計画を作成することです。基本的に、監査中に何をカバーするかの一連のステップバイステップの書面化された実行可能なプロセスです。組織は、ライフサイクル全体を通じて保持するデータを把握する必要があります。また、収集方法や出所に応じて個人情報を分類することを確認してください。

2. GDPR適合性のギャップを確認する

監査レポートを作成した後、現在のGDPR適合性プログラムを確認します。データ処理記録、データ転送メカニズム、ユーザーDSARプロセス、プライバシー原則、セキュリティコントロールを確認する必要があります。基本的に、これは組織がGDPRルールと一致しているかどうかを発見するための発見段階です。

コンプライアンスチェック後、監査人は現在のプロセスとGDPRルールに沿っていない分野を概説したレポートを作成する必要があります。

3. コンプライアンスギャップの改善

監査人がコンプライアンスギャップを特定したら、組織はリスクベースの改善アプローチをとるべきです。GDPRの要件と原則に基づいてレポートをチェックし、非コンプライアントの分野を修正してください。理想的には、組織に悪影響を与える可能性がある高リスク分野から始めるべきです。

4. 改善努力のテスト

最終プロセスは、改善プロセスがコンプライアンスギャップを排除するかどうかを確認することです。組織のシステムとプロセスがGDPRの要件を満たしているかどうかをテストする必要があります。実装されたプロセスとコントロールをテストして、ギャップがないことを確認してください。このプロセスが完了したら、組織がすべての要件を満たしていることを確認するために監査を行います。

GDPRコンプライアンス監査は継続的なプロセスであることに注意することが重要です。コア組織プロセスやシステムを変更する場合は特に、定期的にこれらの監査を実施する必要があります。

GDPRコンプライアンスチェックリスト – 監査要件の説明を読んでいただきありがとうございます。この記事を締めくくります。

また読むサイバーセキュリティにおけるトップ15の脆弱性スキャナーツール

GDPRコンプライアンスチェックリスト – 監査要件が説明された結論

GDPRの要件を遵守することは、高度な技術チーム、資格を持つDPO、そして情報を持つ従業員が必要な厳しいプロセスです。組織はすべての必要なデータ保護システムを導入し、ユーザーデータを安全かつ合法的に収集、保存、処理することを確認すべきです。

このようなサイバーセキュリティのヒントについては、当社のブログをご覧ください!

Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/