メキシコのデータ保護法（Ley Federal de Protección de Datos Personales en Posesión de los Particulares）コンプライアンス

規制の概要

メキシコのデータ保護法（Ley Federal de Protección de Datos Personales en Posesión de los Particulares）は、2010年7月6日に発効しました。

意図

2017年1月26日のエルエコノミスタの記事には、「個人データ保護に関する一般法の目的は、他の主体が所有する個人情報を保護するすべての人々の権利を保証するための基本原則と手順を確立することである 」と記載されています。

透明性、情報アクセス、および個人データ保護研究所のコミッショナーであるAreli Cano Guadiana氏は、エルエコノミスタの記事の中で「メキシコ議会による個人データの保護に関する一般法の承認は、個人情報の取り扱いを管理する人々の権利における重要な進歩を表している」と述べています。

詳細

データプライバシーとセキュリティの専門家であるFrancoise Gilbert氏¹は次のように記しています：

この法律は、個人または団体によって処理、転送、廃棄される個人データに適用されます。「個人データ」には、特定された、または特定可能な自然人に関する情報が含まれます。

....
データ管理者は、個人データが紛失、損傷、改ざん、破壊、および不正アクセスや不正使用から保護されるように、適切な管理上、技術上、および物理的な保護手段を講じる必要があります。

罰金

国家最低賃金委員会の名誉代表評議会によって可決された決議によれば、個人データの保護に関する一般法の第X章によって定められた違反金・制裁措置は、連邦地区内の最低賃金の100日～32万日分相当の間で設定されます。つまり、6,500～20,700,000メキシコペソに達する可能性があります。

¹ https://www.francoisegilbert.com/?p=1104

コンプライアンス概要

メキシコのデータ保護法（Ley Federal de Protección de Datos Personales en Posesión de los Particulare）に準拠し、罰金や違反通知を回避するには、最先端のベストプラクティスのデータセキュリティが必要です。

この分野でのタレスの製品は次のとおりです：

• データが組織内のどこに存在する場合でも、リスクに敏感なデータに従って識別および分類するためのデータの検出と分類
• 資格のあるユーザーのみがデータを取得できるようにする強力なアクセス管理と認証
• データが盗まれた場合、それらのデータがサイバー犯罪者にとって無意味で役に立たないことを保証するデータ中心の保護
• セキュリティインテリジェンスログにより、不規則なアクセスパターンと進行中の侵害を特定

データ検出と分類

機密データを保護するための最初のステップは、組織内のどこにあってもデータを見つけ、機密として分類し、入力する（PII、財務、IP、HHI、顧客機密など）ことです。これにより、企業は最も適切なデータ保護技術を適用できるようになります。また、データを定期的に監視および評価して、新しいデータが見落とされたり、組織がコンプライアンスに違反したりしないようにすることも重要です。

タレス CipherTrust データ検出と分類は、オンプレミスおよびクラウド内の構造化および非構造化機密データを効率的に識別します。エージェントレスとエージェントベースの両方の展開モデルをサポートするこのソリューションは、規制対象データの迅速な識別を可能にし、セキュリティリスクを強調し、コンプライアンスのギャップを明らかにするのに役立つ組み込みテンプレートを提供します。合理化されたワークフローにより、セキュリティの死角が明らかになり、修復時間が短縮されます。詳細なレポートは、コンプライアンスプログラムをサポートし、経営幹部とのコミュニケーションを促進します。

強力なアクセス管理と認証

タレスのアクセス管理および認証ソリューションは、データセキュリティ規制に準拠するために組織が必要とするセキュリティメカニズムとレポート機能の両方を提供します。当社ソリューションは、機密データが保存されたアプリケーションにユーザーがログインするときに適切なアクセス制御を適用することにより機密データを保護します。また、幅広い認証方法とポリシー主導の役割ベースのアクセスをサポートすることで、資格情報の侵害や盗難、または内部での資格情報の悪用によるデータ侵害のリスクを軽減します。

スマートシングルサインオンとステップアップ認証のサポートにより、組織はエンドユーザーの利便性を最適化し、必要な場合にのみ認証する必要があることを保証できます。また、広範なレポートによりすべてのアクセスおよび認証イベントの詳細な監査証跡を作成できるため、企業はさまざまな規制への準拠が可能になります。

保存中の機密データの保護

CipherTrust データセキュリティ プラットフォームは、データの検出、保護、および制御を1つのプラットフォームに統合する、データ中心のセキュリティ製品およびソリューションの統合スイートです。

• 検出：組織は、データが存在する場所ならどこでもデータを検出し、分類できる必要があります。このデータは、ファイル、データベース、ビッグデータなど、さまざまな形式である可能性があり、オンプレミスのストレージ間、クラウド内、およびバックアップ間で保持できます。データのセキュリティとコンプライアンスは、ハッカーや監査人の前で公開された機密データを見つけることから始まります。CipherTrust データセキュリティ プラットフォームを使用すると、組織は、効率的なデータ検出、分類、およびリスク分析により、 オンプレミスおよびクラウド内の機密データを完全に可視化できます。
• 保護：組織が機密データの場所を知ると、暗号化やトークン化などの保護手段を適用できます。機密データを正常に保護するための暗号化とトークン化では、暗号鍵自体を組織が保護、管理、および制御する必要があります。CipherTrust データセキュリティ プラットフォームは、アクセス制御を使用したファイルレベルの暗号化、アプリケーションレイヤーの暗号化、データベースの暗号化、静的データマスキング、ポリシーベースの動的データマスキングを使用したボルトレストークン化、ボルト型トークン化など、幅広いデータ保護のユースケースをサポートする包括的なデータセキュリティ機能を提供します。
• 制御：組織は、データへのアクセスを制御し、鍵管理を一元化する必要があります。すべてのデータセキュリティ規制と義務化により、組織はデータと暗号鍵への許可されたアクセスと許可されていないアクセスを監視、検出、制御、および報告できる必要があります。CipherTrust データセキュリティ プラットフォームは、複数のクラウドサービスプロバイダー（CSP）およびハイブリッドクラウド環境全体で堅牢なエンタープライズ鍵管理を提供し、暗号鍵を一元管理して、セキュリティポリシーを構成します。これにより、組織がクラウド、オンプレミス、およびハイブリッド環境全体で機密データを制御・保護できるようにします。
• 監視：企業は機密データへのアクセスを監視して、悪意のある内部関係者、特権ユーザー、APT、およびその他のサイバー脅威からの進行中または最近発生した攻撃を特定する必要があります。CipherTrust セキュリティ インテリジェンスのログとレポートは、主要なセキュリティ情報およびイベント管理（SIEM）システムを使用して、コンプライアンスレポートを合理化し、脅威の検出を高速化します。このソリューションは、承認されていないアクセス試行に対する即時の自動エスカレーションと応答を可能にし、承認されたユーザーによる疑わしい使用の特定に必要となる動作パターンを構築するために必要なすべてのデータを提供します。

移動中の機密データの保護

タレスの高速暗号化プログラム（HSE）は、ネットワークに依存しない移動中データの暗号化（レイヤー2、3、4）を実行し、サイト間、またはオンプレミスからクラウドへの安全なデータの移動を保証します。当社のHSEソリューションを使用することで、パフォーマンスを低下させることなく手頃なコストで、データ、ビデオ、音声、メタデータを盗聴や監視、また明白且つ秘密裡の傍受からより適切に保護できます。

暗号鍵の保護

タレスのLuna HSMは安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、さまざまな展開シナリオをサポートします。

さらにLuna HSMは次の機能を発揮します。

• ルート鍵と認証局（CA）用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
• アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
• IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成