データの機密性を確保するために欧州のデータ保護規則が制定されてから 4 年が経過しましたが、それらを遵守する方法について企業や消費者の間では依然として理解が不足しています。
一般データ保護規則の略称である GDPR の頭字語は、Google や Amazon などのビッグテック企業が高額の罰金を科されたときによく聞かれます。これは基本的に、データが不適切に使用されないようにデータの使用を制御するルールを指しますが、複雑な詳細は依然として混乱を引き起こす可能性があります。
新しい認証システムは、企業や国民が規制をよりよく理解し、罰則を回避しやすくすることを目的としています。
水曜日、GDPRの施行を担当する欧州データ保護委員会(EDPB)は、承認された初めての GDPR 認証スキーム。
これにより、個人または団体は、承認された認定機関から認証を取得し、EU および顧客に対して GDPR に準拠していることを証明できるようになります。
第三者による検証
欧州委員会とスイスが共同出資するヨーロッパの研究プロジェクトである組織ユーロプライバシーは、その GDPR 認証スキームが EDPB によって正式に承認された最初の組織です。
この動きは、組織がGDPR準拠と認証という複雑な業務を乗り切るのに役立つとしている。
「これは非常に重要です。なぜなら、GDPR に関しては、認証への言及が 70 件以上あったからです。認証は、データが実際に GDPR 要件に従って処理されていることを確認する方法だからです」と、ユーロプライバシー会長でありモノのインターネット フォーラム会長のセバスチャン ジーグラー博士は述べています。 。
「そしてこの認証は、企業や病院が実際にGDPRに準拠しているかどうかを公平な当事者が評価できる唯一の仕組みだ」と同氏はユーロニュース・ネクストに語った。
この動きは、ユーロプライバシー証明書がすべての EU および欧州経済地域加盟国によって認められることを意味します。これは、GDPR の混乱を解消することを目的としています。以前と同様、データ保護のコンプライアンスは基本的に国の監督当局によって監視されていました。
「より高い信頼感」
ユーロプライバシーは、新しいシステムにより、企業がデータの処理方法や EU プライバシー規則の遵守方法について独立した第三者による検証をより積極的に取得できるようになると考えています。
ジーグラー氏は、各国当局に認められた認証制度があれば、企業やユーザーに「かなり高い信頼感」を与えることができると述べた。
「通常、サービスプロバイダーと個人データを共有することを選択した場合、どのプロバイダーも『もちろん尊重します』、もちろん『法律を遵守します』と言うでしょう。しかし、常に疑問があります」と同氏は述べた。
ジーグラー氏は、この制度は大企業だけでなく、特に中小企業(SME)や公共団体、さらには国民も支援すると述べた。
「GDPR の要件の 1 つは、個人データを収集または処理する人が、非常に明確に理解できる言葉でデータ主体に通知する必要があり、その義務があることを保証することです。
「これは認証の一部であり、お客様や当社に提供される情報が明確かつ透明であることを評価するものです。」
その仕組みとしては、企業または公的機関が GDPR にどのように準拠しているかを文書化し、承認された認証機関がこれを検査して準拠性を認証することになります。
ジーグラー氏は、この認証は計画として考えられるべきではなく、GDPRの透明性をすべての人にとって高めるための方法論として考えられるべきであり、これによりGDPRルールの変更や変更について企業や国民への教育が継続されるだろうと述べた。
「次のステップは、人々を教育し、データ保護のコンプライアンスを理解させることだと思います」と彼は言いました。
「これは企業にとってもチャンスです。これはユーザーを大切にしていることを示すだけでなく、社会にとっても経済にとっても良いことです。規制に準拠しないリスクがあることは、企業の関係者全員にとってリスクです。」
しかしジーグラー氏は、GDPRをより明確にするために何が必要かを理解するための対話を生み出すには、国民や企業とのより良いコミュニケーションが必要だと述べた。
「アインシュタインは、優れた科学知識があれば、5 歳児に 5 分で説明できるはずだとよく言っていました。そして、それがまさに GDPR のベンチマークだと思います」と彼は言いました。