たぶん、あなたのビジネスは顧客、従業員および/またはパートナーに関する個人情報を収集します。これはあなたにその情報を保護する義務があることを意味します。これを怠ると、法的問題や破産につながる可能性があります。残念ながら、過去数年間に多くの企業がこうした状況に直面しています。
Frost Brown Toddのテクノロジおよびデータプライバシー担当弁護士、Jane Hils Shea氏は、Small Business Trendsの電子メールインタビューで、次のように述べています。「データ漏えいの頻度と程度は、違反数と個々の記録数の両方で史上最高です。妥協し、データ侵害への対応に関連する費用が増加しています。」
$config[code] not foundこれが、あなたの中小企業が個人情報とその保護方法について知っておくべきことです。
個人情報とは
個人を特定できる情報や個人の機密データは、個人の個人情報を識別するために使用されるものなら何でもかまいません。例えば:
- 名
- 社会保障番号
- 連絡先
- 支払情報
- IPアドレス
あなたのビジネスがあなたの顧客に関するこのような情報のいくつかをすでに収集している可能性は十分にあります。誰かがクレジットカードで支払いをしたり、名前と連絡先情報を使ってあなたのメーリングリストに登録したりすると、いつでもあなたは個人情報にアクセスすることができます。
つまり、この情報を保護し、このデータをどのように使用するつもりなのかを顧客に正確に知らせるためのポリシーを用意する必要があります。これがあなたが知る必要があるものです。
なぜあなたのスモールビジネスにとって個人情報は重要なのですか?
個人情報の保存と保護に関しては、企業が特定の基準を満たすことを要求する法律や規制があります。ほとんどの場合、あなたはあなたがあなた自身のプライバシーポリシーで使用する実際の言語に縛られています。したがって、収集した個人情報をどのように使用することを計画しているのかを正確に概説し、顧客があなたと取引をするときにそのポリシーに同意するように顧客に依頼することが重要です。ただし、特定の業界にも適用される他の標準があります。
Shea氏は、次のように述べています。「米国に居住している人に関する個人データを収集するオンラインビジネスは、主にそのWebサイトのプライバシーポリシーに定められている約束に拘束されています。事業が金融サービスまたは医療業界の一部である場合、それはグラム - 浸出 - ブライ法(GLBA)または医療情報保護および移植性法(HIPAA)の要件の対象となる可能性があります。 13歳未満の子供に関するデータを収集する場合、それは子供のオンラインプライバシー保護法(COPPA)の下で責任を負う可能性があります。」
支払いは、企業がセキュリティへの取り組みに集中する必要があるもう1つの主要分野です。 Shea氏は、次のように述べています。「クレジットカードを使用する企業は、ペイメントカード業界のデータセキュリティ基準(PCI-DSS)に準拠していることを確認する必要があります。クレジットカードで支払いを行うすべての企業は、PCI-DSSを実装し維持するために、カード処理契約によって義務付けられています。」
オンラインビジネスでは、国際的な法律、または今年初めにEUで施行されたGDPR法のように、米国外の顧客からの個人情報に焦点を絞った法律についても認識する必要があります。
個人情報の保護に関しては、公正信用報告法の個人情報盗難規則では、特定の企業に個人情報の盗難防止プログラムを作成することを義務付けています。また、多くのベンダーサービス契約では、契約契約の一部として業界標準のセキュリティ手順を実装することを企業に義務付けています。
あなたのビジネスはどのように個人情報を保護することができますか?
顧客、従業員、およびベンダーに関して収集した機密データおよび個人を特定できる情報を保護するためにできること、そして実行すべきことはたくさんあります。正確な計画は、実際に収集するデータによって異なります。しかし、基本的にすべてのビジネスに適用される1つの重要な原則があります。
Shea氏は、次のように述べています。「データ侵害から保護するために企業がとるべき基本的ルールと最初のステップは、「あなたのデータを知ること」です。強力な情報セキュリティプログラムは、データインベントリとデータマップから始まります。この演習では、どの個人データを収集し、その顧客と従業員について処理するのかをビジネスに指示し、そのデータが最も保護されるようにシステム内のどこにあるのかを特定します。さらに、個人データがどのように処理および送信されるのか、それが保持される期間、およびそのデータ破壊義務は何かを理解する必要があります。」
彼女はまたあなたが採用できる具体的なステップをいくつか提供しました。例えば:
- 法的またはコンプライアンス上の理由から、使用しない、または保持する必要があるシステムからすべてのデータを削除します。
- データ侵害への対応計画を策定する。
- ビジネスの回復力計画を策定し、信頼できるクラウドサーバーに不可欠なデータをバックアップします。
- 機密性の高い個人情報の送信と保管のための暗号化を追加してください。
- セキュリティ意識について従業員を訓練します。
- 従業員に強力なパスワード、2要素認証、およびその他の予防的なセキュリティ対策の実施を要求します。
- セキュリティ対策とその慣行についてベンダーに確認してください。
- カード詐欺のリスクを減らすためにEMVチップカード技術を使用してください。
Shutterstockによる写真
続きを読む:2つのコメントとは▼