ピペダとは? コンプライアンスのために知っておくべきこと

公開: 2022-06-28

データのプライバシーは、ビジネスの成否を左右します。

消費者が自分のデータを制御し、プライバシーを保護できるようにするために、多くの重要なコンプライアンスと標準が開発されています。 消費者データ全体を扱う場合、ブロックへの最新の追加、PIPEDA、影響を受ける当事者、違反に対する罰則など、さまざまな規制を理解することが重要です。

ここでは、PIPEDA の詳細、HIPAA および GDPR プライバシー基準との比較、および組織が PIPEDA コンプライアンスを維持する方法について説明します。

ピペダとは?

個人情報保護および電子文書法 (PIPEDA)は、2000 年 4 月 13 日に王室の同意を得たカナダの法律で、2001 年 1 月 1 日から段階的に施行されました。法律は 2004 年 1 月 1 日に完全に制定されました。

PIPEDA により、カナダの企業は、消費者のプライバシーに関する懸念を軽減しながら、グローバルなデジタル経済で競争できるようになります。 法律は、個人情報保護などの効果的な法律と結果を確保するために、5 年ごとに見直されなければなりません。

個人情報とは、特定可能な個人に関する主観的または事実に基づく情報です。 次のような要素が含まれています。

  • 個人の健康情報 (PHI)
  • 雇用の詳細とファイル
  • クレジットとローンの記録
  • 評価や懲戒処分などの主観的な情報
  • 名前、年齢、ID 番号などの直接的な識別情報

PIPEDAの目的は何ですか?

PIPEDAプライバシー規則は、法律の対象となる企業が商業活動を行う際に個人情報を取り扱うための基本的な規則を定めています。 カナダのプライバシーコミッショナーのオフィスは、PIPEDA コンプライアンスを監督しています。 OPC の任務には、企業が個人情報をどのように処理するかを最適化するのを支援し、カナダ市民からのプライバシーに関する苦情を調査することが含まれます。

PIPEDAの開発に影響を与えたものは何ですか?

法律は、理由があって提案され、承認されます。 多くの場合、目標は既存の法律の欠点や見落としを是正することです。

この場合、PIPEDA の推進力となったのは、ますます多くの顧客が e コマース ソリューションに目を向けるようになるにつれて、企業が電子的に送信された個人データをどのように処理するかについての懸念が高まったことでした。 商業組織が個人データを管理する方法に関する規則を設定することにより、PIPEDA はデータの使用に関連する消費者の権利を保護しようとしています。

PIPEDA の主な規定の一部を以下に示します。

  • この法律は、個人情報のプライバシーに対する個人の権利と、ビジネスを行う際に情報を収集および処理する組織のニーズとのバランスをとることを目的としています。
  • PIPEDA の下では、カナダ人は組織が個人情報を収集、使用、または開示する理由を知る権利があります。 消費者は、収集されたデータを確認し、誤りに対処するために修正を加えることができます。
  • 企業は、個人情報の収集、使用、または開示に対して同意を得る必要があります。 この要件は、データが調査を容易にする場合、または非開示が公共の安全を危険にさらす緊急事態の場合に一時停止されます。
  • PIPEDA は、組織が個人情報をどのように扱っているかについて、プライバシー コミッショナーに苦情を申し立てる権利を個人に付与します。 プライバシーコミッショナーは、苦情を調査し​​て解決します。
  • プライバシー コミッショナーは、情報を公開するか、問題をカナダ連邦裁判所に付託することができます。これにより、組織は特定の慣行を停止し、影響を受けた個人に損害賠償を与えることができます。
  • PIPEDA には、国際データ保護法および個人情報保護のためのカナダ規格協会のモデル プライバシー コードに基づく一連の公正な情報原則が含まれています。 このコードは、企業、消費者団体、政府、およびプライバシー基準に関係するその他の組織によって共同で開発されました。

PIPEDAの10の公正な情報原則

PIPEDA の中心にあるのは、法律の対象となり、個人データの処理に関与する組織が遵守しなければならない 10 の公正な情報原則です。 これらの原則を詳しく見てみましょう。

PIPEDA に準拠するには、組織は次の公正な情報の原則を順守する必要があります。

  1. 説明責任:企業は、PIPEDA に準拠し続けるために少なくとも 1 人を指名する必要があります。 この人物は、資格を持ち、その役割を果たすために管理サポートを受ける必要があります。 公正な情報の原則を概説するわかりやすいプライバシー ポリシーを作成し、すべての関係者と共有する必要があります。
  2. 目的の特定:企業は、特定の種類のデータを収集する理由を述べる必要があります。 この要件は、次の 3 つのプライバシーの問題に対応しています。 データの不適切な使用を防止するための措置を講じることができるように企業に警告する。 企業が新しい目的のためにデータを使用したい場合は、新たに個人の同意を得ることを企業に義務付ける
  3. 同意: PIPEDA ガイドラインの対象となる企業は、意味のある暗黙的または明示的な消費者の同意を得る必要があります。 被験者に同意を強要することはできず、データ収集者に同意を提供することの意味を理解する必要があります。
  4. 収集の制限:組織は、同意を求める目的と一致する、必要な情報のみを収集できます。
  5. 使用、開示、および保持の制限:企業は、顧客情報が同意を得た理由でのみ使用されることを保証するポリシーを作成する必要があります。 データは、データ収集者が述べた目的を達成するために必要な期間のみ保持する必要がありますが、消費者が情報に疑問を呈するのに十分な期間保持する必要があります。
  6. 正確さ:   企業は、収集されたすべての個人情報が正確、完全、および明示された目的のために必要に応じて更新されていることを保証する必要があります。
  7. 安全対策:これはおそらく最も重要な PIPEDA の原則であり、収集された個人情報の保護に直接関係しています。 組織は、収集したデータを侵害、盗難改ざん、コピー、および不正アクセスから保護する必要があります。 個人データ保護のレベルは、その機密性に対応する必要があります。
  8. オープン性:企業は、データがどのように収集、処理、共有、保存されているかをユーザーに通知する必要があります。 説明責任の原則で指定された人物の名前と連絡先情報を公開する必要があり、収集されたデータへのアクセス方法をユーザーに通知する必要があります。
  9. 個別アクセス:企業は、個人データの書面による要求に対して、収集されたデータの種類とその使用および開示に関する情報を要求者に 30 日以内に提供することで対応する必要があります。 消費者は、収集されたデータが正確かどうかを判断し、必要な修正を行うことができる必要があります。
  10. コンプライアンスへの挑戦:組織は、コンプライアンス違反や違反に関する苦情を受け取り、調査し、解決するための手順を策定する必要があります。 苦情が正当である場合、個人データに関連するポリシーを変更する必要がある場合があります。 苦情申立人には、苦情の内容と、対応に満足できない場合に取るべき措置について通知する必要があります。

PIPEDA は誰に適用されますか?

カナダで活動するすべての組織が PIPEDA の対象となるわけではありません。 規制は以下に適用されます。

  • 商業活動に従事しながら個人情報を収集、使用、または開示するカナダの民間組織
  • 銀行、電気通信会社、国際輸送会社などの連邦規制機関
  • 州や国境を越えてデータを転送するカナダの企業

PIPEDA を免除される組織:

  • 慈善団体
  • 政党
  • 非営利団体
  • 個人情報保護法に記載されている連邦政府機関
  • ジャーナリズム、芸術、または文学の目的で個人情報を収集、使用、または開示する組織
  • ケベック州、ブリティッシュ コロンビア州、アルバータ州の事業体は、同様の州の民間部門のプライバシー法の対象となります

PIPEDAはどのように個人情報を保護していますか?

PIPEDA は、個人データのセキュリティを確保するために 3 種類の保護手段を指定しています。

  1. 物理的:組織によって導入された物理的な保護手段は、許可されていない担当者が機密データを閲覧するのを防ぐ必要があります。 対策には、監視カメラ、オフィスの施錠、安全な内部または外部データセンターでの IT 活動の実施が含まれる場合があります。
  2. 組織:これらのセーフガードは、個人情報を保護するための組織のポリシーと手順を指します。 プライバシーを重視する企業文化を構築するために従業員をトレーニングすることは、組織の安全対策の標準的な要素です。 機密データの取り扱いを担当する従業員は、セキュリティ クリアランスを受けなければならず、内部関係者による不正アクセスのすべての事例を調査する必要があります。
  3. 技術:組織のデータを保護するために、多くの技術的手段を講じることができます。 重要な保護手段には、データの暗号化、ユーザー アクティビティの管理とログ記録、堅牢なファイアウォールの実装が含まれ、機密情報を含むネットワークやシステムから権限のないユーザーを遠ざけます。

PIPEDA 保護の範囲内の消費者には、データの使用に関して次の権利と期待があります。

  • 消費者は、自分について収集されたものを確認し、エラーを修正する権利を有します。
  • 過剰または不必要な情報の要求を拒否する場合があります。
  • すべての消費者は、自分のデータが適切に使用され、同意が与えられた特定の目的のために使用されることを期待する必要があります。
  • 市民は、プライバシー権が侵害された疑いがある場合、苦情を申し立てる権利があります。

データ侵害への対応

PIPEDA 基準の対象となる組織は、インシデントが 1 人以上の消費者に重大な危害 (RROSH) の実際のリスクをもたらす場合、OPC にデータ侵害を報告する必要があります。

損害の程度に関する決定に影響を与える要因には、違反によって影響を受ける情​​報の機密性と、悪意のあるアクターがそれを悪用する可能性が含まれます。 企業は、RROSH を構成するかどうかにかかわらず、すべてのデータ侵害の記録を保持する必要があります。 これらの記録は、少なくとも 2 年間保管する必要があります。

違反に対する罰則

違反すると、2 種類の罰則が科される可能性があります。

  • 罰金: 2018 年の PIPEDA 修正案では、故意にセキュリティを侵害した場合、罰金が科される場合があります。 違反ごとに最大 100,000 カナダドルの罰金が科される可能性があります。
  • 悪評:適切な保護手段を欠いている企業に影響を与えます。 これは顧客の信頼を損ない、企業のビジネス目標に影響を与える可能性があります。

PIPEDA 対 HIPAA 対 GDPR

カナダ、米国、および欧州連合 (EU) は、個人情報の使用に関する市民の懸念に対処する法律を制定しました。 これらの法律はすべて個人情報の保護に重点を置いていますが、提供される具体的な保護とそ​​の施行方法は大きく異なります。

ここでは、PIPEDA、1996 年の米国の医療保険の携行性と説明責任に関する法律 (HIPAA) と、EU の一般データ保護規則 (GDPR) を簡単に比較します。

これらのプライバシー規制の類似点

3 つのプライバシー規則はすべて、機密性の高い個人情報を保護します。

  • PIPEDA は、健康情報、財務データ、直接識別子など、幅広い個人データを保護します。
  • HIPAA は、個人の保護された健康情報 (PHI) に焦点を当てています。
  • GDPR は、生存者を特定するために直接的または間接的に使用できるデータを保護します。 これには、名前、住所、IP アドレス、Cookie データなどの明らかな要素が含まれますが、これらは個人データと見なすことができます。 GDPR は、人種、宗教的信念、および PIPEDA または HIPAA でカバーされていないその他の事柄に関する情報も保護します。

3 つのプライバシー基準はすべて、組織が収集した個人データを保護するためのセーフガードを実装することを要求しています。

  • PIPEDA は、この記事で前述したように、組織が技術的、物理的、および組織的なセーフガードを実装することを奨励しています。
  • HIPAA 規制では、PHI を保護する際に、同様の管理上、技術上、および物理的な保護手段が必要です。
  • GDPR 基準には、個人データを保護するための技術的および組織的な対策の実装が含まれています。 セーフガードには、機密データへの不正な物理アクセスを制限することを強調することが含まれます。

これらの規制イニシアチブの違い

これら 3 つのデータ プライバシー基準には大きな違いがあります。 罰金は、各規制基準に違反した場合の構成が異なります。

  • PIPEDA:違反ごとに最大 100,000 カナダ ドル
  • HIPAA:罰金は違反の重大度に応じて課され、最もひどい見落としに対しては年間 1,500,000 ドルの上限があります。
  • GDPR:違反者には、企業の年間グローバル収益の最大 4% または 2,000 万ユーロのいずれか大きい方の罰金が科せられます。

個人の権利は、適用されるガイドラインによって異なります。

  • PIPEDA:消費者は、収集されたデータを閲覧し、修正する権利を有します。
  • HIPAA:患者は、組織が収集して保存する PHI を見る権利があります。
  • GDPR:個人は自分のデータを表示し、組織のデータベースから削除するよう要求できます。

PIPEDA コンプライアンスとは何ですか?

PIPEDA コンプライアンスは、企業がプライバシー基準を満たすための一連のカナダ連邦プライバシー規則および規制です。 商業組織が PIPEDA に準拠するには、法律の内容を理解し、そのガイドラインに従う必要があります。 従わない場合、罰金が科せられ、消費者の信頼が低下する可能性があります。

なぜPIPEDAコンプライアンスが不可欠なのですか?

e コマースとソーシャル メディアの台頭により、PIPEDA を含むデータ プライバシー規制への準拠が強化されています。 規制への準拠は、多くの理由から、企業とその顧客にとって不可欠です。

  • 顧客の機密性の高い個人データは、権限のない悪意のあるアクターによる悪用やアクセスから保護する必要があります。
  • PIPEDA などの規制基準を順守しないと、多額の罰金が科される可能性があります。

データ保護規制を順守しない企業は、顧客の信頼と企業の評判を失う可能性があり、決して回復することはありません。

PIPEDA コンプライアンスを取得する方法

PIPEDA への準拠を維持するために、組織は個人の個人情報を保護するためのセーフガードを実装する必要があります。 PIPEDA に準拠する必要がある企業には、主に 2 つの選択肢があります。

社内対ベンダー支援のコンプライアンス

組織は、社内リソースを使用して必要なインフラストラクチャと準拠システムを実装するか、経験豊富なサードパーティのクラウド コンプライアンス ソフトウェアを利用するかを選択できます。 それぞれのアプローチには長所と短所があります。

社内リソースの活用

  • 内部リソースを使用してコンプライアンスに準拠したインフラストラクチャを構築する企業は、収集および処理する機密データをより細かく制御できます。
  • 環境を構築するために新しいハードウェアを購入する場合、資本コストが高くなる可能性があります。
  • IT 部門が限られている組織では、PIPEDA 準拠の環境を実装および維持するために必要な専門知識や無料のサイクルがない場合があります。

サードパーティのクラウド パートナーを利用する

  • クラウド ホスティングがコンピューティング インフラストラクチャを提供するため、資本コストが削減されます。
  • 評判の良いプロバイダーの専門知識は、データ侵害や PIPEDA で概説されているセキュリティ対策への違反の可能性を減らします。
  • ビジネスは、クラウド リソースを使用して迅速にスケールアップまたはスケールダウンし、変動または季節的な顧客の需要を満たすことができます。

コンプライアンスを監視する

PIPEDA への準拠は見過ごされるべきではありません。 金銭的な罰則は企業の収益に大きな影響を与えますが、目に見えない影響ははるかに高くつく可能性があります。 データ侵害によって個人データが侵害された場合、顧客の信頼を回復することは不可能になる可能性があります。

PIPEDA に準拠する必要がある企業は、評判の良い Web ホスティング プロバイダーと連携することで、コンプライアンスを維持するためのストレスと複雑さを大幅に軽減できます。 適切なプロバイダーは、PIPEDA 規格に準拠したインフラストラクチャを提供できます。これにより、企業は、すべての規制要件を満たしていることを保証して、コア ビジネスの目標に集中することができます。

オンライン顧客データの将来がどうなるか興味がありますか? 差し迫ったクッキーレスの未来に何が期待できるかを学びましょう。