ユーザー情報の機密性を保護するためにWebサービスはどのような状況で必要ですか?
WebアプリケーションがPCI-DSSまたはHIPAAに準拠する必要がある場合、ユーザーの個人情報(ユーザーパスワードなど)の機密を保持する必要があることを私は知っています。
ユーザーの個人情報を保護するために、他にどのような状況でWebアプリケーション/システムが必須になるでしょうか?
回答は管轄区域に大きく依存しますが、米国での回答の概要は次のとおりです。
ユーザー情報の機密性を保護することを約束する場合(プライバシーポリシーなど)、そうする必要があります。約束を果たさないことは、不公正または欺瞞的な取引慣行と見なされる可能性があり、FTCは、そうする企業を起訴する管轄権を有します。
守秘義務を約束する契約に署名した場合は、契約で約束したことをすべて行う必要があります。
米国では、ビデオレンタル加入者のデータを管理する場合、機密性を保護する必要がある場合があります。 Bork事件の後、米国にはビデオレンタルのプライバシーを管理する特別法があります。
学生データを管理している場合、または政府機関である場合は、ユーザーデータの機密性を保護する必要がある場合があります。
他の多くの場合、ユーザーデータの機密性を保護するための法的要件はない可能性があります。ただし、それでもおそらく正しいことです。
ヨーロッパでは、米国の法律に類似したものがない強力なデータ保護法があるため、答えは大きく異なる可能性があります。
一般に、以下に準拠することが法的に義務付けられている場合があります。
- 顧客/サプライヤーとの契約上の合意
- 会社が設立された法域に関連する規制/法律
- 会社が事業を行っている法域に関連する規制/法律
- データを保存する人が住んでいる法域に関連する規制/法律
- 業界に基づく会社に関連する規制/法律
- 会社の種類に基づいた会社に関連する規制(例:米国の公開会社はSOX法に基づく責任を負っています)
これは潜在的に多くの法律/規制/契約です。さらに悪いことに、それらのいくつかは曖昧であり、それらのいくつかは時代遅れであり、そしてそれらのいくつかは他のものと矛盾するかもしれません。あなたは関連する弁護士に相談したいと思うでしょう。
ある意味で、全員は、個人情報を保護するために、それを怠ったことで誰もが訴えられる限りの範囲で必要です。おそらく失敗するかもしれませんが、訴訟の大衆に対処するときはいつでも、健全なCYAが必要です。
さらに、契約上の義務(特に政府の契約)は、あなた自身のプライバシーポリシーと同様に、同様の制限を適用する場合があります。もちろん、これはあなたに対して使用することができます。
最後に、業界によっては、さらに義務が課せられる場合があります。たとえば、銀行を取り巻く規制はたくさんあります。そして、誰かのビデオレンタル履歴を開示することを違法にする法律を覚えていますか?必要なのは1人の恥ずかしい上院議員だけであり、法的環境は最も予期しない方法で変化する可能性があります。