私のシナリオ:顧客から提供されたデータセットを使用して、パーソナライズされた商品を大量に生産する生産施設。データセットの範囲は、米国では100,000〜2,000,000です。これはPCIではなく、HIPPAまたはSarbanes-Oxley Actにも該当しません。
ジョブショップ環境で、顧客から提供されたデータリストを保持するには長すぎるのですか?プロジェクトマネージャーは、「すべて」をいつまでも参照できるようにしたいと考えています。ネットワーク管理者は、プロジェクトの出荷後にデータセットをスクラブしたいと考えています。
しっかりとバランスを取りたいです。この領域のベストプラクティスのいくつかと、ポリシーを設定するために参照するソースは何ですか?
絶対に必要なときよりも長い間、何も保持しないでください。それがどのくらいの期間かというあなたの要因には以下が含まれます:
私は、米国が財務報告の10年間の要件であると思います(これはしばらく前なので、私は間違っているかもしれません)。
あなたの契約はあなたの義務を満たすためにもっと長い期間を必要とするかもしれません。
はい、「無期限に」データを必要とする人はたくさんいますが、正当な理由を定義する必要があります(その理由は外部からの調査に耐えなければなりません)。
プライバシー規制は、一般に、不要になったときに個人データを破棄する必要があることを理解しています。そして、彼らは「後で必要になるかもしれない」という薄暗い見方をしている。
これがあなたの経験則です:"個人データは有毒な資産です"。それは利益よりも多くの財政的責任を負います。あなたは強制されているので、あなたはそれを保つ傾向があるだけです。しかし、それが不要になり、時間の経過とともに利益が減少するので、あなたには責任が残ります。
Schroederの適切な回答に加えて、プロジェクトマネージャーと協力して、データが必要であるwhyを特定するのに役立ちます。古いデータを何に使用しますか?時間を節約できますか?リピーター向けのショートカットはありますか?価値あるビジネスインテリジェンスを生み出しますか?間違いがあった場合にジョブを再実行できますか?
彼らがそれをどのように使用する予定であるかがわかったら、それをどうするかを理解できます。リピーターの時間を節約するために保存すると、おそらく同じことを行うテンプレートを作成できます。ビジネスインテリジェンスを探している場合は、プロジェクトの終了後にデータを要約または匿名化するプロセスの一部にしてから、データを破棄します。シミュレーションまたはモデリングのためにデータのプールに追加された場合は、非個人情報をプールに追加し、名前や住所などを破棄する方法を見つけます。
間違いを修正するためにジョブを再実行するためにデータを保存している場合は、プロジェクトマネージャーに、これらの間違いが発生する頻度、通常はどれだけの手直しが必要か、データが必要か、顧客がやり直せるかなどの情報を提供するよう依頼してください。それを供給し、顧客が取り違えを発見して不満を言うまでの最大時間のポリシーは何ですか?そのデータは、データ保持ポリシーの確立に不可欠です。
また、一部のクライアントや、会社にデータを保存してもらうクライアントにとって便利なため、データを保存することもできます。たぶん、それは各注文/契約の一部になり、ジョブの終了後にデータを保持する期間を指定します。
理由にかかわらず、データ保持ポリシーの要求、機密データの分類などを定義する企業の情報セキュリティポリシーを使用できるように思えます。
正式なポリシーができるまで、個人を特定できる情報(PII)を必要以上に長く保存することは会社にとって文字通り危険であることを理解してもらいます。いつかハッカーがあなたの組織を破って、データのコピーを盗んで、あなたを全国的なニュースに入れるかもしれません。それが発生した場合、顧客は常にそれを信頼の違反と見なすため、あなたがデータが機密であるかどうかを考えていてもかまいません。
John DetersとSchroederはほとんどのポイントをカバーしましたが、キャプチャする情報には計画的なライフサイクルが必要であることは基本的なデータの変更です。それは、それを保持する期間を決定するだけでなく、その経過日/計画された公開日を取得するメカニズムを備え、データを削除する方法についてもです。
データを保持する期間がわからないということは、これらのメカニズムが適切に機能していない可能性があることを強く示唆しています。
そして、今日保持することが「合法」であるものは、明日合法ではないかもしれません。