コンプライアンス・ソリューション

一般データ保護規制(GDPR)とRocket API

EU一般データ保護規則(GDPR)は、個人情報・個人データへのアクセス、修正、消去する権利と、他のプラットフォームへの情報の移転を自由に要求することを定めた規則です。組織の最大の変更点の一つは、説明責任原則です(第5条(2))。企業は、個人データを保護し、すべての処理の関連する文書をメンテナンスするための適切な技術的および組織的措置を実施することが求められています。

GDPRの完全な遵守は、技術的な観点だけではありません。規制の適用範囲は広く、組織的、手続き的、技術的なセキュリティ要件を網羅しています。Rocket® APIは、電子データのセキュリティと整合性に関するGDPRの要件について、システムが関連する規格に準拠するように設計されています。Rocket APIを使用すると、以下の要件を満たすことができます。

第5条:個人データの取り扱いに関する原則

GDPR要件

Rocket API の機能

1.d

個人データは正確であり、必要な場合には、最新に保たなければならない。取り扱い目的に照らして不正確な個人データが遅滞なく消去または訂正されるように、合理的な措置を講じる必要がある。(「正確性」)

Rocket APIを使用するすべてのデータ転送は、TLS1.2やSSHv2などの暗号化されたプロトコルによって保護されます。これらのプロトコルは、技術的なエラーや悪意のある干渉を防ぐために、転送データの完全性を確保します。

1.e

個人データは、その取り扱い目的に必要な期間内で、データ主体の識別が可能な形式で保存されなければならない。(「保存制限」)

Rocket APIは、デフォルトではAPI呼び出しに関連するデータを格納せず、そのようなデータの格納を制限しています。

パフォーマンスを考慮して、共通のAPI呼び出しをキャッシュすることができます。このキャッシュされたデータはメモリにのみ保持され、永続的なストレージには書き込まれません。このデータは、Rocket APIサービスが停止したとき、または事前設定された時間で消去されます。

Rocket APIは、データマスキングと匿名化の機能をサポートしており、個人が識別できる形式でデータの公開を制限しています。

1.f

個人データは、適切な技術的または組織的措置を講じて、不正または非合法的な取り扱いおよび偶発的な紛失、破壊または損壊からの保護を含む、個人データの適切なセキュリティを保証する方法で取り扱わなければならない。(「完全性および機密性」)

Rocket APIを使用するすべてのデータ転送は、TLS1.2やSSHv2などの暗号化されたプロトコルによって保護されます。強力な暗号化により、データセキュリティと機密性を確保します。

また、暗号化プロトコルは、転送中のデータの整合性を保証し、技術的なエラーや悪意のある干渉を防止します。

Rocket APIは、バックエンドのメインフレーム・オペレーティングシステムのアクセス権を活用し、その権限に関連するすべてのアクセス権と制限を継承します。これには、読み取り権限と書き込み権限が含まれます。

Rocket API は、バックエンド・メインフレームを通じて制御されるアクセス権に加えて、ユーザー、機能、アクセスされるデータによって、API呼び出しをさらに制限することができるアプリケーション層のセキュリティを備えています。

データ転送はバックエンドのメインフレームと、APIを呼び出すフロントエンド・システムとの間で厳密に行われます。
Rocket APIを介してデータが漏れたり、転送されたり、リダイレクトされることはありません。

監査ログ機能により、すべてのAPI呼び出しを記録し、機能にアクセスしているユーザーの詳細や、アクセス中のデータ、読み書き中のデータ値を表示できます。

Rocket Access and Connectivity Hub(RACH)管理インタフェースが、APIのインベントリーを管理し、APIゲートウェイへのデプロイを管理します。また、お客様毎に構成可能なきめ細かなユーザーアクセス制御が行えます。

RACHはLDAP認証を使用して、パスワードの制御やユーザーを認証する仕組みを利用できます。

RACH監査ログは、コンパイルされたAPIのアップロードとデプロイメント、アプリケーション自体の管理などを含み、すべてのアクセスとアクティビティーに対する個々のアカウンタビリティーを提供するもので、アプリケーション内のすべてのユーザー・アクティビティーを記録します。

2

管理者は、第1項の責務を負い、遵守を証明できなければならない。(「アカウンタビリティー」)

監査ログ機能により、すべてのAPI呼び出しを記録し、機能にアクセスしているユーザーの詳細や、アクセス中のデータ、読み書き中のデータ値を表示できます。

RACH監査ログは、コンパイルされたAPIのアップロードとデプロイメント、アプリケーション自体の管理などを含み、すべてのアクセスとアクティビティーに対する個々のアカウンタビリティーを提供するもので、アプリケーション内のすべてのユーザー・アクティビティーを記録します。

第25条:設計及びデフォルトのデータ保護

GDPR要件

Rocket API の機能

1

実施コストや取り扱いの性質、範囲、文脈および取り扱いの目的、並びに取り扱いによってもたらされる自然人の権利および自由に関するさまざまな可能性や重大性のリスクを考慮し、管理者は取り扱い方法の決定時および取り扱い時の両方において、仮名化などの適切な技術的および組織的措置を講じなければならない。それは、この規則の要件を満たし、データ主体の権利を保護するために、データを最小限にするなどのデータ保護原則を効果的に実施し、必要な保護手段を取り扱いに統合することが求められる。

Rocket APIは、データマスキングと匿名化の機能をサポートしており、個人が識別できる形式でデータの公開を制限しています。

Rocket APIを使用するすべてのデータ転送は、TLS1.2やSSHv2などの暗号化されたプロトコルによって保護されます。強力な暗号化により、データセキュリティと機密性を確保します。

また、暗号化プロトコルは、転送中のデータの整合性を保証し、技術的なエラーや悪意のある干渉を防止します。

Rocket APIは、バックエンドのメインフレーム・オペレーティングシステムのアクセス権を活用し、その権限に関連するすべてのアクセス権と制限を継承します。これには、読み取り権限と書き込み権限が含まれます。

Rocket API は、バックエンド・メインフレームを通じて制御されるアクセス権に加えて、ユーザー、機能、アクセスされるデータによって、API呼び出しをさらに制限することができるアプリケーション層のセキュリティを備えています。

2

管理者は、デフォルトで、具体的な取り扱いの目的に必要な個人データのみが扱われることを保証するための、適切な技術的および組織的措置を講じなければならない。その義務は、収集した個人データの量、取り扱いの範囲、保存期間およびアクセス可能性に適用される。特に、その措置は、個人データが、個人の介在なしに、不特定多数の自然人がアクセスできないことが、デフォルトで保証されなければならない。

Rocket APIは、バックエンドのメインフレーム・オペレーティングシステムのアクセス権を活用し、その権限に関連するすべてのアクセス権と制限を継承します。これには、読み取り権限と書き込み権限が含まれます。

Rocket API は、バックエンド・メインフレームを通じて制御されるアクセス権に加えて、ユーザー、機能、アクセスされるデータによって、API呼び出しをさらに制限することができるアプリケーション層のセキュリティを備えています。

データ転送はバックエンドのメインフレームと、APIを呼び出すフロントエンド・システムとの間で厳密に行われます。
Rocket APIを介してデータが漏れたり、転送されたり、リダイレクトされることはありません。

第32条:取り扱いの安全性

GDPR要件

Rocket API の機能

1

実施コストや取り扱いの性質、範囲、文脈および取り扱いの目的、並びに取り扱いによってもたらされる自然人の権利および自由に関するさまざまな可能性や重大性のリスクを考慮し、管理者は、リスクに対して適切なレベルのセキュリティーを確保するための、適切な技術的および組織的措置を講じなければならない。

 

1.a

個人データの仮名化と暗号化

Rocket APIは、データマスキングと匿名化の機能をサポートしており、個人が識別できる形式でデータの公開を制限しています。

Rocket APIを使用するすべてのデータ転送は、TLS1.2やSSHv2などの暗号化されたプロトコルによって保護されます。強力な暗号化により、データセキュリティと機密性を確保します。

1.b

取り扱うシステムおよびサービスの継続的な機密性、整合性、可用性および回復力を保証する能力

Rocket APIは、バックエンドのメインフレーム・オペレーティングシステムのアクセス権を活用し、その権限に関連するすべてのアクセス権と制限を継承します。これには、読み取り権限と書き込み権限が含まれます。

Rocket API は、バックエンド・メインフレームを通じて制御されるアクセス権に加えて、ユーザー、機能、アクセスされるデータによって、API呼び出しをさらに制限することができるアプリケーション層のセキュリティを備えています。

Rocket Access and Connectivity Hub(RACH)管理インタフェースが、APIのインベントリーを管理し、APIゲートウェイへのデプロイを管理します。また、お客様毎に構成可能なきめ細かなユーザーアクセス制御が行えます。

RACHはLDAP認証を使用して、パスワードの制御やユーザーを認証する仕組みを利用できます。

第33条:監督機関への個人データ侵害の通知

GDPR要件

Rocket API の機能

3.a

[データ主体に対する個人データ侵害の通知]は、可能な限り、関連するデータ主体のカテゴリーとおおよその数、関連する個人データ・レコードのカテゴリーとおおよその数を含む個人データ侵害の性質を少なくとも記述しなければならない。

監査ログ機能により、すべてのAPI呼び出しを記録し、機能にアクセスしているユーザーの詳細や、アクセス中のデータ、読み書き中のデータ値を表示できます。これは、API呼び出しを含む侵害の性質と範囲の正式な記録として役立ちます。

RACH監査ログは、コンパイルされたAPIのアップロードとデプロイメント、アプリケーション自体の管理などを含み、すべてのアクセスとアクティビティーに対する個々のアカウンタビリティーを提供するもので、アプリケーション内のすべてのユーザー・アクティビティーを記録します。

第34条:データ主体への個人データ侵害の通知

GDPR要件

Rocket API の機能

3.a

[データ主体に対する個人データ侵害の通知]は、管理者が適切な技術的および組織的保護措置を実施し、その措置が個人データ侵害によって影響を受ける個人データに適用されている場合は、要求されない。特に、暗号化のように、当該個人データにアクセスが許可されていないあらゆる人に判読できない場合。

Rocket APIを使用するすべてのデータ転送は、TLS1.2やSSHv2などの暗号化されたプロトコルによって保護されます。強力な暗号化により、データセキュリティと機密性を確保し、権限のない人には判読できないデータになります。

Rocket APIは、データマスキングと匿名化の機能をサポートしており、個人が識別できる形式でデータの公開を制限しています。

お気軽に電話にてお問合せください: 日本:045-670-8900(代表) 045-670-8901(技術支援)