今年初,日本成为第一个赚钱的国家 适当的决定 在欧盟执行之后 通用数据保护条例 (GDPR)。这意味着委员会已决定日本的数据保护级别足够高,以允许个人数据在日本和欧盟之间自由流动。但是,在日本为欧盟数据主体的个人数据提供了强有力的保护保证之后,做出了这一决定。

日本是亚洲第一个通过数据保护法规的国家, 个人信息保护法 (APPI)于2003年生效。在数起重大的数据泄露事件震惊了整个国家之后,该法案得到了重大更新,使其与当前的国际标准保持一致。该修正案于2017年5月30日生效,但就像大多数在GDPR之前进入法律界的法规一样,它未能符合新的数据主体和以隐私为中心的欧洲法规。这就是为什么日本在与欧盟委员会谈判其充分性决定时制定了一套 补充规则 旨在弥合两个数据保护系统之间的差异。

这些额外的保障措施加强了对敏感数据的保护,个人权利的行使,并总体上确保了GDPR为欧盟个人数据提供的相同保证将在日本适用。这些规则自2019年1月23日达成的充分性决定起生效,并对所有处理欧盟个人数据的日本企业具有法律约束力。它们的执行将由日本个人信息保护委员会(PPC)实施。

企业如何才能符合APPI?

新的经过改进的APPI和补充规则意味着,日本企业收集和处理个人信息以及在全球范围内向日本数据主体提供服务和产品的企业必须实施网络安全措施和物理保障措施,以确保他们处理的个人信息的安全性。

尽管传统的网络安全解决方案(如防火墙和防病毒软件)是全面数据保护策略不可或缺的一部分,但将重点放在外部威胁上可能会使公司容易受到个人信息最大的实际威胁:他们自己的员工。

去年的IAPP  已报告  至少84%的数据泄露是员工疏忽的结果。日本最大的旅行社JTB遭受数据泄露,导致793万名用户的数据被盗,其中包括护照号码。 一名员工.

因此,组织必须查看内部和外部的漏洞和威胁。数据丢失防护(DLP)解决方案解决了传统数据保护策略的这一盲点,该策略侧重于外部恶意行为者,并提供了所需的工具,以确保敏感数据在办公室内外均受到意外保护。

使用DLP保护传输中的数据

DLP解决方案提供了可以应用于从计算机到用户,组和部门的不同级别的细化策略。它们可以为满足公司的特定需求量身定制,但是大多数还带有针对敏感信息的预定义策略,这些策略受到包括GDPR和APPI在内的各种数据保护法规的保护。这尤其是指个人身份信息(PII),例如护照号码,身份证号码,驾照号码等。

这些政策一旦到位,就可以控制和监视员工将敏感数据传输到何处。无论是通过浏览器到社交媒体和即时消息,还是通过复制粘贴,云或打印,通过互联网进行的转移都将受到监控,并且可以根据公司的需要进行阻止或限制。

这样不仅可以确保敏感数据不会错误地通过公司网络外部的不安全通道进行传输,而且还可以提供有用的监视信息,例如所有事件的详细日志,这些信息可以用于审核。因此,可以确定哪些员工需要就最佳数据保护实践进行进一步的培训。

保护静态数据

公司很少知道员工计算机上存储的数据类型。这可能会成为问题,尤其是当此类数据是敏感数据并且由日本数据主体提出删除或更正它的请求时。组织可能会不知不觉地仍然存储着不正确的数据,或者由于员工已将其下载到计算机上并忘记了数据而不再同意保留或处理这些数据。

DLP解决方案,例如 端点保护器 允许公司扫描其网络中的所有计算机以查找敏感数据,当发现敏感数据时,管理员可以选择采取补救措施,例如数据删除或加密。

随时随地保护数据

员工离开公司网络安全并随身携带设备(无论是计算机,电话还是可移动存储设备)出差或在客户或合作伙伴的办公室进行演示时,发生数据泄露的第三种可能性。

例如,员工很容易将USB遗留在出租车中,或者将其从出租车中掏出。一旦丢失,存储在它们上的任何敏感数据都可以被盗或公开。某些DLP解决方案提供了对传输到USB设备上的数据进行自动加密的可能性,从而有效地确保在丢失或失窃的情况下,如果没有正确的密码就无法访问其中的信息。不仅如此,万一密码被遗忘或泄露,管理员可以远程重置它。

避免移动中数据丢失的另一种方法是限制或阻止可移动设备的连接在一起。 DLP工具可以限制USB和外围端口的使用,从而完全阻止所有连接,或者确保只有受信任的设备(如具有自动加密功能的设备)才能连接到计算机。

结论

DLP解决方案可以通过提供有效的工具来控制和监视所需的个人和特殊数据,来帮助日本公司和组织遵守APPI。公司只有知道他们处理的数据在哪里以及如何使用它们,才能制定有效的数据保护策略,以确保他们遵守APPI及其补充规则。

Source://www.endpointprotector.com/blog/