米国で個人データをホストする米国以外の企業のコンプライアンス要件または基準は何ですか?
私はカナダとアジアにオフィスを持つ狩猟会社で働いています。カスタムビルドのCRMシステムを、日本でホストされている自社サーバーからAmazonホスティングサービスに移行しました。つまり、すべてのデータが米国のAmazonサーバーで保持されるようになりました。
データには、名前、生年月日、連絡先の詳細、現在および以前の勤務先、現在および以前の給与、完全な履歴書、国内の問題から候補者から学んだ情報に関するメモが含まれます。雇用者。基本的に、個人情報の盗難、限られた企業スパイ、場合によっては脅迫を実行するために必要なすべてのものです。正確な数はわかりませんが、さまざまな完了状態で25万から50万レコードです。
関連する場合、ユーザーからのすべての接続はIPフィルターされたHTTPSを介して行われます。開発者は、標準のAmazon SSHポリシーで接続します。 SNMPとNRPEにもアクセスできますが、IPフィルターが適用されます。データベースは暗号化されておらず、サーバーインスタンスは同じローカルAmazonサブネット上の別のサーバーインスタンスにプレーンテキストで複製されます(ファイルとデータベース)。
日本にいるとき、すべてのデータは私たちがカバーすることができた日本の法律に該当しました。しかし、米国に法人がなければ、データセキュリティに関して遵守すべき法律、基準、監査があるかどうかはわかりません。 CRMとデータは現在アメリカにあるので、それはアメリカの法律/標準でしょうか?カナダの法律/基準は最も近い組織であり、その事務所は実際にCRMシステムを維持しているためですか?日本事務所としての日本の法律/基準は最大であり、データの大部分を生成していますか?私が知らないいくつかの国際法/基準?
可能であれば、関連する情報/規格/専門機関へのリンクを回答に含めていただけますか?あなたが私を正しい方向に向けることができれば、私はフットワークをすることを嬉しく思います。
米国の顧客がいない場合や米国で事業を行っている場合は、米国のプライバシー法をカバーする必要はないと思います。
ただし、居住している国や事業を行っている国のプライバシー法を遵守する必要があります。
基本的に、あなたのデータが国境を越えて保存されることを日本の法律が許可しているかどうか、そして米国の法執行機関によってあなたのデータを引き渡すことを余儀なくされる可能性のあるベンダーによって理解する必要があります。
ほとんどの場合、これに対する簡単な答えはありません。そのため、重要な場合は、地元の弁護士を見つけて彼と話し合うことをお勧めします。
カナダのプライバシー規制では、公的機関はカナダの国境の外では市民のPIIを転送または保存できません(米国と交換されるデータを監視できるため、国境を越える必要があります)。したがって、カナダの政府機関や王冠組織は、いかなる目的でもAWSを使用していません。この制限は非常に厳しいため、Microsoftは、カナダの組織がクラウドに移行するのを支援するために、Azureクラウドサービス用のデータセンターを開くことを計画しているようです。
一方、カナダでは民間部門にそのような制限はなく、データが最終的に米国国境内のサーバーにあることを知っているAWSに移行できます。
日本については、日本のプライバシー法をチェックする必要がありますが、民間部門がデータを保存したいという制限に直面することはないと思います。