法的規制の範囲内で機密データをキャプチャしますか?
ウェブ開発エージェンシーとして、現在、人材紹介会社のサイト再構築に取り組んでいます。現在のサイトでは、申請者は代理店(クライアント)の臨時労働者として登録でき、必要に応じて短期契約が割り当てられます。
これらの労働者のための現在のサイトの申請書は、銀行の詳細、連絡先の詳細、教育、さらには申請者の詳細な病歴を含む膨大な量の非常に機密性の高いデータをキャプチャします。驚くべきことに、SSLを使用しない通常のHTTP接続でこれを実行し、データはサイトでも使用されるmysqlDBに保存されます。私見それはせいぜい怠慢です。
私たちのクライアントは、私たちが開発している新しいサイトでも同じ動作を望んでいますが、明らかに、現在のビジネスロジックを実装する際の合法性とセキュリティ上の懸念について強い懸念があります。
誰かが合法的に保存できるもの、情報を保存するための最良の方法、そしておそらくクライアントに提供できる代替シナリオについてのガイダンスを与えることができますか?明確にするために、このサイトでは英国(EU)のデータ保護法が適用されます。
明らかに、私たちが取っている最初のステップはHTTPSを介して新しいサイトにサービスを提供することですが、それ以外にこれまでに考え出すことができる最善の方法は、機密性の低い情報を取得することであり、人材紹介会社に個別の問い合わせを行うように要求します。申請者は、銀行口座番号や病歴などの厄介なものを入手します。
どんな助けでも大歓迎です......
データ保護について話すときは、英国の このページ を参照できます。その要点は以下のとおりです。
データの使用に責任を持つすべての人は、「データ保護原則」と呼ばれる厳格な規則に従う必要があります。情報が次のとおりであることを確認する必要があります。
- 公正かつ合法的に使用
- 限定された、具体的に述べられた目的のために使用されます
- 適切で、関連性があり、過度に正確ではない方法で使用される
- 絶対に必要な期間を超えて保管する
- 人々のデータ保護権に従って取り扱われる
- 適切な保護なしに欧州経済領域外に転送されないように安全に保管
次のような、より機密性の高い情報に対するより強力な法的保護があります。
- 民族的背景
- 政治的意見
- 宗教的信念
- 健康
- 性の健康
- 犯罪歴
ここで、「安全を確保する」という部分は、セキュリティを実装する人の解釈に基づいて実装されます。事実、裁判官はあなたが取った措置を見て、それらの措置が適切であったかどうかを判断します。
HTTPS自体を使用する必要があるという法律はありませんが、HTTPSを使用しないことは、業界のグッドプラクティスに沿っていないと見なされる可能性があります。したがって、情報を適切に保護していないことを意味します。
定期的なパッチ管理、制御された変更管理など、他にも考慮すべきことがたくさんあることに注意してください。医療情報に関しては、誰がいつどの記録にアクセスするかを監視するための優れた監査および会計システムを含む、彼らが実施することを期待するさらに厳しい措置があります。
罰金に関しては、DPAに取って代わるGDPRが罰則を規定しています。これは、世界の年間売上高の最大4%、つまり2,000万ユーロです。