南アフリカの個人情報保護法の主要な規定を遵守しましょう

2013年11月、南アフリカ共和国議会は、2013年個人情報保護法(POPIA)を制定しました。

その目的は次のとおりです。 公的機関および民間機関によって処理される個人情報の保護を促進するため 個人情報の処理に関する最小要件を確立するために、特定の条件を導入するため この法律および2000年の情報へのアクセスの促進法に関して、特定の権限を行使し、特定の義務および機能を実行するための情報規制当局の設立を規定するため 行動規範の発行を規定するため 未承諾の電子通信および自動化された意思決定に関する個人の権利を提供するため 共和国の国境を越えた個人情報の流れを規制するため それに関連する事項を提供するため

コンプライアンス違反が招く可能性がある結果

POPI法の第100~106条は、当事者が「犯罪となる」場合を判断する事例を扱っています。具体的には、第105条(口座番号に関連する責任者による違法行為)は、「責任者は、[個人データのプライバシーの侵害]がデータ主体に重大な損害または苦痛を与える可能性があることを把握していなければならない、または把握しているべきである」と述べています。

さらに、第106条(口座番号に関連する第三者による違法行為)は、「責任者の同意なしに、故意またはむやみに、データ主体の口座番号を取得もしくは開示する、または、他人へのデータ主体の口座番号の開示を受ける場合は犯罪となる」と述べています。

第107条は、それぞれの違反に適用される罰則について詳述しています。具体的には、「犯罪で有罪判決を受けた者は、罰金または10年以下の懲役、あるいは罰金および同等の懲役の両方、あるいは罰金または12か月を超えない期間の懲役、または罰金および同等の懲役の両方の責任を負う」と記載されています。

POPI法第109条では、罰金の上限は「1,000万ランドを超えてはならない」と詳述されています。

    規制

    以下の資料は、南アフリカ共和国のPOPI法から直接抜粋したものです。

    個人情報の完全性と機密性に関するセキュリティ対策

    19. (1)責任者は、以下を防止するための適切で合理的な技術的および組織的措置を講じることにより、所有または管理下にある個人情報の完全性と機密性を確保する必要があります。

    • 個人情報の紛失、損害、または不正な破壊
    • 個人情報への不正なアクセスまたは処理

    第1項を実施するために、責任者は以下に対して合理的な措置を講じる必要があります。

    • 所有または管理下にある個人情報に対する合理的に予見可能なすべての内部および外部リスクを特定する
    • 特定されたリスクに対する適切な保護手段を確立し、維持する
    • 保護手段が効果的に実施されていることを定期的に確認する
    • 以前に実装された保護手段の新しいリスクや不備に対応して、保護手段が継続的に更新されるようにする

    オペレーターが処理する情報に関するセキュリティ対策

    21. (1)責任者は、責任者とオペレーターとの間の書面による契約の観点から、責任者の個人情報を処理するオペレーターが第19条に記載されているセキュリティ対策を確立し、維持することを保証する必要があります。

    (2)オペレーターは、データ主体の個人情報が不正な人物によってアクセスまたは取得されたと判断する合理的な理由がある場合は、直ちに責任者に通知する必要があります。

    セキュリティ侵害の通知

    22. (1)データ主体の個人情報が不正な人物によってアクセスまたは取得されたと判断する合理的な理由がある場合、責任者は通知する必要があります。

    • 規制当局
    • 第3項に従い、データ主体(当該データ主体の身元を確立できない場合を除く)

    (4)データ主体への通知は、書面で行い、少なくとも次のいずれかの方法でデータ主体に伝達する必要があります。

    • データ主体の最後の既知の物理アドレスまたは郵便アドレスに郵送
    • データ主体の最後の既知の電子メールアドレスに電子メールで送信
    • 責任者のウェブサイト上で目立つ位置に配置
    • ニュースメディアに掲載
    • 規制当局の指示に従う

    民事救済

    99.(1)データ主体またはデータ主体からの要請があった場合、規制当局は、責任者の故意または過失の有無にかかわらず、第73条に記載されている本法の規定に違反したことを理由に、責任者を管轄する裁判所に損害賠償の民事訴訟を提起することができます。

    (3)第1項の規定による裁判所の審理手続は、以下を含む公正かつ衡平な金額を裁定することができます。

    • この法律の規定の違反の結果としてデータ主体が被った財産的および非財産的損失の補償としての損害賠償の支払い
    • 裁判所の裁量で決定された金額での加重損害賠償
    • 利息
    • 裁判所が定める規模の訴訟費用

    コンプライアンス

    Entrust nShield® HSMは、POPIAに準拠し、データ侵害通知要件を回避するのに役立ちます。

    POPIAは、対象データのアクセスと取得については不明ですが、個人情報の保護に対処する世界各国の規制では、データが仮名化されているか、不正に取得された者に読み取り不能になっている場合は、データ侵害を報告する必要はありません。盗まれた機密データは、窃盗犯にとっては役に立たず、データ主体に害を与えません。

    2つの仮名化の一般に認められているベストプラクティスのアプローチは、暗号化とトークン化です。どちらも暗号化キーを使用して、プレーンテキストを読み取り不能な暗号文に変換して元に戻します。「サイバー窃盗犯」が暗号化またはトークン化されたデータとともにキーを盗んだ場合、データをプレーンテキストに戻すことができます。したがって、保護するデータからキーを分離し、キー自体に追加のセキュリティを提供することが不可欠です。

    暗号化キーセキュリティのためのEntrustソリューション

    暗号化キーセキュリティのベストプラクティスは、それらのキーをハードウェア・セキュリティ・モジュール(HSM)に保存することです。Entrust nShield HSMは、データの暗号化と復号化、およびデジタル署名と証明書の作成に使用されるキーを生成、保護、管理することで暗号化プロセスを保護する、強化された改ざん防止ハードウェアデバイスです。これらのHSMは、FIPS 140-2およびコモンクライテリアなどの最高レベルのセキュリティ基準に準拠してテスト、検証、および認定されています。Entrust nShield HSMを使用すると、組織は次のことが可能になります。

    • データプライバシーに関する確立された新しい規制基準を満たし、超える
    • より高いデータの安全性と信頼性を実現
    • 高いサービスレベルとビジネスの機敏性を維持

    nShield as a Serviceは、専用のFIPS 140-2レベル3認定済みのnShield Connect HSMを使用して、機密データとは別に暗号キーマテリアルを生成、アクセス、保護するための、サブスクリプションベースのソリューションです。 このソリューションは、オンプレミスのHSMと同じ機能と、クラウドサービス展開のメリットを組み合わせたものを提供します。これにより、顧客はクラウドファーストの目標を達成し、アプライアンスの保守をEntrsutの専門家に任せることができます。

    参考資料

    コンプライアンス概要: 南アフリカPOPIA

    南アフリカPOPIAは、違反によって生じる可能性のある罰金および民事訴訟とともに、個人情報の保護に取り組んでいます。

    パンフレット: Entrust nShield HSMファミリーのパンフレット

    Entrust nShield HSMは、安全な暗号化処理、キーの生成および保護、暗号化などのために、強化された改ざん防止環境を提供します。3つのFIPS 140-2で証明されたフォームファクタで利用可能なEntrust nShield HSMは、さまざまな実装シナリオをサポートします。

    データシート: nShield as a Service

    nShield as a Serviceは、専用のFIPS 140-2 Level 3認定済みのnShield Connect HSMを使用して、暗号化キーマテリアルを生成、アクセス、保護するための、サブスクリプションベースのソリューションです。

    関連ソリューション

    関連製品