3-2-データ保護 (Data-protection)

プライバシーはアプリケーションセキュリティの重要な側面となっています。GDPR, LGPD, CCPA などの法規制により PII (個人を特定できる情報) の処理についていくつかの規制が設けられています。これらの規制を遵守するために、DevSecOps は PII を適切に使用し、データ漏洩を防ぐようにしなければなりません。

まず、何が PII とみなされるかをよく理解することが重要です。

• 姓名

• 識別可能な電子メール (name.lastname@domain.com)

• ID カード番号

• 位置データ (モバイル)

• IP アドレス

• これは完全なリストではありません。

PII の中にはセンシティブとされるものがあり、以下のようなものはさらに多くの保護が必要とされます。

• 人種的起源や民族的起源

• 政治的意見

• 宗教的信念や哲学的信念

• 労働組合への加入

• 遺伝データ

• 生体データ (個人を一意に識別するために処理される場合)

ほとんどのプライバシー規制ではプライバシーバイデザインを推進しています。これは開発プロセスがサイクル全体を通してプライバシーに関する懸念に対処するアプローチです。コーディングが始まる前からです。

PII データフローを作成し、データのライフサイクルを通して必要な保護を確実に適用しなければなりません。また処理されるデータの質と量に関連するすべての要件に従わなければなりません。

すべての PII データ処理要件を仕様化しなければなりません。すべての PII インベントリを作成し、処理アクティビティを評価して、以下のようなすべての要件に準拠していることを確認しなければなりません。

• 合法性、公平性、透明性

• 目的の限定

• データの最小化

• 正確性

• 保存の制限

• 完全性と機密性 (セキュリティ)

• 説明責任

PII と PII 処理アクティビティがマップされ、従うべきプライバシー規制に準拠していることを確認した後は、その重要性に応じてデータを保護するためのセキュリティ対策を施すことが重要です。