英国のデータ保護法は、Brexitの結果として変更されました。 ここで最新のガイダンスを見つけることができます。
一般データ保護規則(GDPR)の下で、組織は個人情報の取り扱い方法を管理するのに役立つデータ保持ポリシーを作成する必要があります。
機密データを長時間保持しすぎると、たとえ安全に保持されていて悪用されていなくても、規制の要件に違反している可能性があります。
それは過度に厳格に聞こえるかもしれませんが、それには正当な理由があります。 このブログでは、なぜそうなのか、データ保持ポリシーがどのように機能するのか、GDPRの要件に沿ったポリシーを作成する方法について説明します。
データ保持ポリシーとは何ですか?
データ保持ポリシーとは、組織が情報を保持する必要がある期間と、情報が不要になったときに情報を破棄する方法を追跡するのに役立つ一連のガイ
このポリシーは、個人データを処理する目的も概説する必要があります。 これにより、データの保持期間と廃棄期間を正当化する証拠を文書化することが保証されます。
目的と目的
GDPRが施行される前のパニックに心を向けると、データの保持期間が不可欠な理由を完全によく理解することができます。
何年も私たちと交流していなかった組織は、私たちのデータを保持するための同意を求めるために木工品から出てきました。
それは、私たちの記録が組織のデータベースにどれだけ頻繁に置かれているかを示していました。
組織は、顧客の詳細を保存するために実質的に何も費用がかかりませんが、それを不必要に保つことはセキュリティ上の脅威にさらされるため、情報
サイバー攻撃であろうと内部エラーであろうと、組織のシステムが侵害されるのには不運なことが1つしかありません。
だから、データ侵害が引き起こす可能性のある損害を制限するために、規制当局は、EUベースの組織がそれを保持する正当な理由がある場合にのみ個人デー
個人データはどのくらい保存できますか?
GDPRのデータ保持期間は明らかに厳格であるにもかかわらず、保管制限に関する規則はありません。
組織は、代わりに、彼らが合うと思うどのような根拠に基づいて、独自の期限を設定することができます。 唯一の要件は、組織がそれが持っている時間枠を設定した理由を文書化し、正当化しなければならないということです。
この決定は、2つの重要な要素、すなわちデータ処理の目的と、データを保持するための規制上または法的要件に基づいて行われるべきである。
データは必要以上に長く保持すべきではなく、将来必要がある場合に備えて”念のために”保持すべきではありません。
あなたの目的の一つがまだ適用される限り、あなたはデータを保存し続けることができます。
また、データを保持するための法的および規制上の要件も考慮する必要があります。 たとえば、データが税務および監査の対象となる場合、または定義された基準を遵守するためには、従う必要があるデータ保持ガイドラインがあります。
データフローマップを作成することで、データの使用方法や将来の使用に必要な場合を計画できます。 このプロセスは、保存期間が終了したデータを検索して削除する場合にも役立ちます。
データ保持期限を回避するには、2つの方法があります。 これは、情報を識別可能なデータ主体に接続することができないことを意味します。
あなたのデータが匿名化されている場合、GDPRはあなたが望む限りそれを保持することができます。
ただし、これを行うときは注意する必要があります。 個人を識別するために組織が保持する他の情報と一緒に情報を使用できる場合、それは適切に匿名化されていません。
公共の利益、科学的または歴史的研究目的または統計目的でアーカイブ目的で情報が保管されている場合は、データ保持期限を回避することもできます。
保持期間を過ぎたデータの処理
データ保持期限が切れたときには、削除するか匿名化するかの二つのオプションがあります。
データを削除する場合は、すべてのコピーが破棄されていることを確認する必要があります。 これを行うには、データがどこに保存されているかを調べる必要があります。 それはデジタルファイル、ハードコピー、またはその両方ですか?
ハードコピーデータを消去するのは簡単ですが、デジタルデータはしばしば痕跡を残し、コピーは忘れられたファイルサーバーやデータベースに存在する可能性があ
GDPRに準拠するには、データを「使用を超えて」配置する必要があります。 データのすべてのコピーは、ライブおよびバックアップシステムから削除する必要があります。
データ保持ポリシーの作成方法
データ保持ポリシーは、情報セキュリティ文書化プロセス全体の一部である必要があります。
最初のステップは、処理しているデータ、そのデータが何のために使用されているのか、ビジネスに適用される規制の全体像を把握することです。
これらの規制には、GDPRが含まれていますが、必ずしもこれに限定されません。 たとえば、お客様が個人のデビットカードまたはクレジットカード情報を処理する場合、お客様はPCI DSS(Payment Card Industry Data Security Standard)の対象となる場合があります。
同様に、情報セキュリティのベストプラクティスを記述した国際標準であるISO27001に準拠する場合は、その要件に注意する必要があります。
これらのコンプライアンス要件は、ポリシーにどのような情報を含める必要があるか、それに従うべきルールを決定します。
単純なデータ保持ポリシーが対処します:
- ポリシーでカバーされている情報の種類
異なる種類の情報には異なるルールが適用されるため、処理しているデータ(名前、住所、連絡先の詳細、財務記録など)
- 情報を保持する権利がある期間
GDPRがデータを保持するための特定の時間制限を設定していないことを伝えると、クライアントは驚くことがあります。 お客様が特定のデータを保持する期間は、お客様がデータを処理する理由に基づいて行う主観的な決定です。
- 不要になったデータをどうするべきか
不要なデータを定期的に削除することで、対象のアクセス要求に従うために取捨選択する必要があるデー それはまた貯蔵および文書管理のコストを削減する。
データ保持ポリシーを定期的に確認することで、混乱を避け、必要な検索を迅速に行うために、家をきれいにし、重複した古いファイルを削除できます。
データ保持ポリシーテンプレートを試してみてください
データ保持ポリシーの作成は困難な作業のように見えるかもしれませんが、GDPRツールキットを使用すると、プロセスが簡単になります。
これには、英国の組織が時間と費用を節約しながらコンプライアンスへのアプローチを正式にするために使用できるGDPRデータ保持ポリシーテンプレート
このツールキットには以下も含まれています:
- 文書要件を完了する方法に関するガイダンス、仮名化、最小化、暗号化に関するテンプレート、
- 特定のタスクや機能を監督する人を理解するのに役立
このブログのバージョンは、もともと2018年11月12日に公開されました。