2020年 (ISC)² Blog 和訳

2020年11月29日

ニュージーランド個人情報保護法2020に向けた準備

 2020年12月1日に施行される「ニュージーランド個人情報保護法2020」の準備はできていますか?時間の経過とともに考慮しなければならないことがたくさんありますが、高額な罰金を回避するためには、組織のコンプライアンス能力が非常に重要です。

 セキュリティ戦略をビジネスに整合させる際に考慮すべき重要な分野をいくつかご紹介します。

プライバシー侵害の報告をすぐに行う

 漏洩した個人情報が個人情報の窃取に利用されたり、誤ってオンラインで公開されたりするなど、データ侵害が被害をもたらす危険性がある場合には、企業は直ちに重大なプライバシー侵害を報告することが義務づけられることになります。

 データ侵害のコスト、そして、いかに迅速に侵害を特定し、阻止するかについては、リスクアセスメント、適切なセキュリティソリューションとプロセス、複雑さを軽減できるセキュリティプロバイダーとのパートナーシップ等によって改善することができます。

 組織で侵害が発生したかどうかわからない場合のため、Office of the Privacy Commissioner (OPC)がNotifyUs(*1)というプログラムを開始しました。このオンラインツールを利用することで、企業や組織は違反の通知が必要かどうかを検討することができます。

新個人情報保護法は誰に影響を与えるのか?

 新しい法律は、従業員や顧客に関する個人情報を収集、保存、使用するすべての組織に影響を与えます。これは、誰かが事業者が保有する個人情報を要求した場合、事業者はそれを提供しないように情報を破棄することができないことを意味します。プライバシーコミッショナーは、コンプライアンスに関し、組織が何かをしたり、何かをしないように要求することができます。従わなかった場合の罰則はNZ $2,000(160万円程度)から$10,000(800万円程度)に及ぶことがあります。

人権裁判所への訴え

 1万NZドルの罰金は一見安いように見えますが、それだけではありません。個人情報保護委員会の事務所は、人権裁判に正式に申し立てをすることができますので、裁判所に行って説明をするための時間が求められます。しかし、これには最高23万NZドル(2億円弱)と、公表が伴います。

海外の組織

 海外の組織もニュージーランド国内でビジネスを行っている場合は影響を受けるため、海外に拠点を置くサービスプロバイダーを利用している場合は、そのプロバイダーがニュージーランドの個人情報保護法を遵守しているかどうかを確認する責任があります。これには、Microsoft、AWS、Googleなども含まれます。これは、欧州連合の一般データ処理規制やGDPRと似ています。

個人情報保護管理者の選任

 個人情報保護法について理解し、問題発生時に対応するために、最低1名の個人情報保護担当者を選任する必要があります。プライバシー・コミッショナーの役割に求められる要件は以下のようなものです。

・個人情報保護法における個人情報保護の原則を理解している。
・個人情報保護法を遵守していることの確認を実行する。
・顧客からのプライバシー侵害の可能性についての訴えに対応する。
・個人情報の開示請求、訂正等に対応する。
・個人情報保護委員会との連絡役を務める。

データと情報

 この新しい個人情報保護法には、興味深い点がいくつかあります。ニュージーランドの興味深い高裁判例によると、「情報」は文字に限定されず、どのようにして得られたか、あるいは保持されたかにかかわらず、あらゆる知識を包含し、状況によっては、個人の心の中に含まれる情報にまで及ぶ可能性があるとしています。(*2)

 また、他人の情報に影響を与えるように仲介者をミスリードしたり、個人情報を含む文書を要求された際にそれを破棄したりすることも違反になります。

準備状況の確認

 個人情報保護法は、従業員および/または顧客に関する個人情報を収集、保存、使用するすべての組織に影響を与えます。

 これは、ニュージーランドの個人情報保護法2020をどうやって遵守したらいいのかわからないという方へのアドバイスです。

・個人情報保護委員会[1] のウェブサイトに登録し、事前に用意されているクイズであなたの知識を確認してください。
・個人情報保護法101[2] コースを受講する
・プライバシー2020[3] コースとそれに付随するクイズに登録してください。
・(ISC)² The Privacy Regulation Roadmap[4] express learning courseに登録してください。

備えあれば憂いなし

 業界に特化し、お客様のセキュリティの成熟度に合わせた個別のセキュリティ計画を策定するには、新しいプライバシー法をナビゲートするための専門知識とリソースを備えたパートナーが必要です。

 データが存在する場所、および組織を運営するために使用するすべての情報を保護するために、適切な管理を実施する必要があります。

参考情報:
[1] https://www.privacy.org.nz/
[2] https://www.privacy.org.nz/.../online-privacy-training-free/
[3] https://www.privacy.org.nz/privacy-act-2020/resources/
[4] https://www.isc2.org/Development/Express-Learning-Courses/The-Privacy-Regulation-Roadmap

(*1) https://privacy.org.nz/privac.../privacy-breaches/notify-us/
(*2) https://www.privacy.org.nz/assets/Files/Online-elearning-privacy-training/Privacy-101-workbook-PARTICIPANT-17Dec15-Current-Version.pdf
原文記事:https://blog.isc2.org/isc2_blog/2020/11/getting-ready-for-the-new-zealand-privacy-act-2020.html