欧州議会および理事会による 2016/679 規定 - 一般データ保護規則 (GDPR)
The General Data Protection Regulation (GDPR) compliance report helps you assess your web application's security against the data protection requirements of European Union (EU) Regulation 2016/679.
一般データ保護規則について
一般データ保護規則 (GDPR) は、2018年5月25日に施行された欧州連合 (EU) の法律です。これは、EUおよび欧州経済領域 (EEA) 内の個人の個人データとプライバシーを保護するための包括的な枠組みを確立しています。また、EU外の組織がEUまたはEEAの居住者の個人データを取り扱う場合にも適用されます。
基本原則
- 合法性、公平性、透明性
- データは合法的、公平かつ透明な方法で処理されなければなりません。
- 目的の制限
- データは、特定された明示的かつ正当な目的のためにのみ収集されなければなりません。
- データの最小化
- 指定された目的に必要なデータのみを収集する必要があります。
- 正確性
- データは正確で最新の状態に保たれなければなりません。
- 保存の制限
- データは必要な期間のみ保持されるべきです。
- 完全性と機密性
- データは安全に処理されなければなりません。
- 説明責任
- 組織は遵守する責任があり、遵守を証明できなければなりません。
対象となる事業体
GDPRは、個人データの処理方法や理由を決定する、または他者のために処理する組織や個人に適用されます。
組織の義務
- 必要な場合は明確な同意を得る。
- 処理活動の記録を維持する。
- 適切なセキュリティ対策(暗号化、アクセス制御など)を実施します。
- 高リスク活動に対するデータ保護影響評価(DPIA)を実施します。
- 特定の場合にはデータ保護責任者(DPO)を任命します。
- 個人データの侵害を72時間以内に当局に報告します。
コンプライアンス違反の罰則
- 各EU加盟国の監督当局がコンプライアンスを監督します。
- 不遵守は、最大2,000万ユーロまたは世界年間売上高の4%のいずれか高い方の罰金につながる可能性があります。
- 規制当局は、警告、叱責を発し、データ処理に対する一時的または恒久的な禁止を課す権限も持っています。
AppScanのGDPRコンプライアンスレポート
このレポートは、GDPRの第32条のセキュリティ要件に対するコンプライアンスに影響を与える可能性のあるウェブアプリケーションの潜在的な問題を自動的に特定します。
GDPRレポートの脆弱性グループ
次の表は、AppScan Enterpriseが評価する特定のGDPR脆弱性グループを示しています。アプリケーションで見つかった脆弱性は、これらの脆弱性グループにマッピングされます。
| 記事 | 説明 |
|---|---|
| 第32条、第1項 | 技術の最新の状態、実施のコスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するさまざまな可能性と重大性のリスクを考慮して、管理者および処理者は、リスクに適したレベルのセキュリティを確保するために適切な技術的および組織的措置を実施しなければならない。 |
| 第32条、第1項.a | 管理者および処理者は、リスクに応じた適切なセキュリティレベルを確保するために、適切な技術的および組織的な対策を講じなければならない。これには、特に適切な場合として、個人データの仮名化および暗号化が含まれる。 |
| 第32条、第1項b | 管理者および処理者は、リスクに応じた適切なセキュリティレベルを確保するために、適切な技術的および組織的な対策を講じなければならない。これには、特に適切な場合として、処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保する能力が含まれる。 |