インドネシアは2022年10月、個人データ保護(PDP)法(2022年法律第27号)を制定しました。これは、さまざまな分野に適用されるデータ保護に関する初の包括的規制であり、同国のデータプライバシーに関する規制フレームワークにおける大きな進歩を示しています。PDP法は、デジタル時代におけるデータプライバシーの重要性の高まりを反映し、個人データに関する個人の権利を強調しています。
インドネシアの個人データ保護(PDP)法とは何ですか?
PDP法は16章76条から成り、インドネシアのユーザーの個人データの収集、保管、処理、転送に加え、データの所有権やデータ使用の禁止事項を広範囲にカバーしています。また、国境を越えた個人データの移転に関して規制当局に事前および事後通知する必要があることなど、新しい概念も導入されています。PDP法ではさらに、個人データ漏洩に対する刑事罰を導入しています。
インドネシアの個人データ保護法(PDP)の概要
インドネシアの個人データ保護(PDP)法は、個人データを保護し、その収集、処理、保管に関する明確なガイドラインを確立し、インドネシアのデータ保護基準を世界基準に合わせることを目的としています。この法律は、データ主体の権利、データ管理者の責任、およびコンプライアンスを確保するために必要な執行メカニズムに関する包括的な規定を導入しています。
- データの収集と処理:合法、公正、透明性があり、特定の目的に限定される必要があります。
- 同意:データ処理には、子供や障がいのある方に対する特別な規定とともに、個人からの明示的、インフォームド(情報を得た上での)、かつ具体的な同意が必要です。
- データ主体の権利:個人には、アクセス、修正、消去、同意の撤回、処理への異議申し立て、およびデータポータビリティを要求する権利があります。
- セキュリティ対策:データ管理者は、個人データを紛失、誤用、または不正アクセスから保護するために適切なセキュリティ対策を実施する必要があります。
- データ侵害の通知:データ侵害が発生した場合、管理者は影響を受ける個人と個人データ保護局に通知する必要があります。
PDP法は、インドネシア国内外の企業に影響を与える、さまざまな分野の個人データ保護を規制します。これは、インドネシア国民の機密データの処理や法的影響を伴う場合に適用されます。
違反した場合、警告、データ処理の一時停止、罰金などの行政罰、および金銭罰や懲役刑などの刑事制裁の対象となる可能性があります。
刑事罰は、個人に対しては最高60億ルピア(368,232米ドル)の罰金、法人に対しては最高600億ルピア(3,682,326米ドル)の罰金、および4年から6年の懲役が科せられる可能性がある。
コンプライアンス概要
インドネシアにおける個人データ保護法(PDP)遵守の確保
コンプライアンスを簡素化し、セキュリティを自動化してセキュリティおよびコンプライアンスチームの負担を軽減することで、個人データ保護法への準拠を支援するソリューションをご覧ください。
インドネシアの個人データ保護(PDP)への準拠達成のためにThalesがお手伝いできること
Thalesのサイバーセキュリティソリューションは、コンプライアンスを簡素化し、可視化と制御によってセキュリティを自動化し、セキュリティおよびコンプライアンスチームの負担を軽減することで、組織がPDP法の第IV章、第V章、第VI章、および第VII章のデータセキュリティ規定に対応できるよう支援します。
PDPコンプライアンスソリューション
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。当社の市場をリードする製品スイートには、Webアプリケーションファイアウォール(WAF)、分散型サービス拒否(DDoS)攻撃や悪意のあるBOT攻撃に対する保護、APIのセキュリティ、安全なコンテンツ配信ネットワーク(CDN)が含まれています。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
PDP要件への対応
Thalesがお手伝いできること:
- データベースのアクティビティをリアルタイムで追跡、分析、応答することで可視性を高めます。
Thalesがお手伝いできること:
- 継続的な透過的暗号化により、物理、仮想、クラウド環境におけるユーザーやプロセスによる不正アクセスから保護します。
- データベース内の機密情報を仮名化します。
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
- 異常なユーザー行動を特定し、脅威に関する包括的な説明とともに修復のための実用的なインテリジェンスを提供します。
- 高度に安全な環境内で暗号化システムの信頼の基点を保護します。
- 社内外のユーザーのシステムやデータへのアクセスを、役割や状況に応じてポリシーで制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
ソリューション:
データセキュリティ
IDおよびアクセス管理
Thalesがお手伝いできること:
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
- 機密データに対するユーザーアクセス権のレポートと分析を合理化します。
Thalesがお手伝いできること:
- 詳細な監査証跡を使用して、アプリケーションと特権ユーザーアカウントの両方からのすべてのデータストアアクティビティをキャプチャおよび分析するための継続的な監視を提供します。
- 個人を特定できる情報(PII)などの機密性の高い個人データを、機密性が低いフォーマット保持トークンに置き換えることで保護します。
- オンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれにデータが存在していてもデータを暗号化します。
Thalesがお手伝いできること:
- アプリケーションとデータベースのトラフィックを調べて、ベースラインの通常アクティビティのプロファイルを作成します。
- 異常なユーザー行動を特定し、脅威についての包括的な説明とともに修復のための実用的なインテリジェンスを提供します。
Thalesがお手伝いできること:
- オンプレミスおよびクラウド内でリスクにさらされている構造化機密データと非構造化機密データを特定します。
- コンプライアンスの現状を特定し、ギャップを文書化し、コンプライアンス達成への道筋を示します。
- すべてのデータを検出し、機密性と価値に基づいて分類することで、隠れたデータのリスクを明らかにすることができます。
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- データベース内の機密情報を仮名化します。
- 高性能なSDKとしてアプリケーション/サービス内のデータを保護し、開発者(Devs)がセキュリティの詳細を管理し、データ保護を定期的に更新する必要性をなくします。
- 高速暗号化によって転送中データを保護します。
- 鍵のライフサイクル管理により、クラウド環境とオンプレミス環境での鍵管理を合理化します。
- 高度に安全な環境内で暗号化システムの信頼の基点を保護します。
- エンドツーエンドの暗号化セキュリティを使用して、クラウドまたはオンプレミスでファイルを共有および同期します。
Thalesがお手伝いできること:
- 監査ログを含む内部への不正アクセスや改ざんを防止します。
- 特権ユーザーを含む、すべてのユーザーのリスクの高いデータアクセスアクティビティを特定します。
- 役割を完全に分離し、機密データへのアクセスを制限します。
- ポリシーにより、役割とコンテキストに基づいて、システムやデータへのアクセスを制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 複数のハイブリッド環境に対するアクセスポリシーと適用を1つの画面で一元管理します。
Thalesがお手伝いできること:
- ハイブリッド環境におけるユーザーやプロセスによる不正アクセスから保護する、継続的な透過的暗号化を実行します。
- データ資産全体のデータの暗号化の強度を独自に表示することで、重要なデータに対するリスクを統合的に可視化します。
- 監査ログを含む内部への不正アクセスや改ざんを防止します。
- データベース攻撃や異常なアクセス要求をリアルタイムで警告またはブロックします。
- ファイルのアクティビティを長期にわたって監視し、組織を危険にさらす可能性のあるアクティビティに関するアラートを設定します。
- ランサムウェアを検出するためにアクティブなプロセスを監視して、過剰なデータアクセス、流出、不正な暗号化、悪意のあるユーザーなりすましといったアクティビティを特定し、そのようなアクティビティが検出された場合に警告またはブロックします。
- 鍵管理操作を役割ベースのアクセス制御と統合し、完全な監査ログレビューを提供します。
Thalesがお手伝いできること:
- 社内外のユーザーのシステムやデータへのアクセスを、役割や状況に応じてポリシーで制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
- データベース内の機密情報を仮名化することで、本番環境以外での漏洩を防ぎます。
- 監査ログを含む内部への不正アクセスや改ざんを防止します。
- 特権ユーザーを含む、すべてのユーザーのリスクの高いデータアクセスアクティビティを特定します。
- オンプレミスでの暗号鍵の制御を維持し、クラウドでホストされているデータを保護することで、サードパーティのリスクを軽減します。
- クラウドプロバイダーの管理者と組織との役割分離を徹底し、機密データへのアクセスを制限します。
- 異常を監視し警告することで、不正なアクティビティを検知し、サプライチェーンのアクティビティが阻害されるのを防ぎます。
- アクセス権を明確に委任することで、サプライヤー、パートナー、あらゆるサードパーティユーザーとの関係管理を可能にします。
Thalesがお手伝いできること:
- データベースのアクティビティとやり取りをリアルタイムで監視および追跡することで、機密性の高い個人データを保護します。
Thalesがお手伝いできること:
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- データベース内の機密情報を仮名化します。
- 鍵管理操作を役割ベースのアクセス制御と統合し、完全な監査ログレビューを提供します。
- 高度に安全な環境内で暗号化システムの信頼の基点を保護します。
- 幅広いハードウェアおよびソフトウェア方式での多要素認証(MFA)を可能にします。
- データ/アプリケーションの機密性に基づいて適応型認証ポリシーを構築し、展開します。
- フィッシング攻撃や中間者攻撃から保護します。
- 将来を見据えた暗号化テクノロジーを使用して転送中データを保護することで、「今すぐ収集して後で復号化する」という事態を回避します。
ソリューション:
データセキュリティ
IDおよびアクセス管理
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。