cloak.business

コンプライアンス比較マトリックス

GDPR、CCPA、HIPAA、ISO 27001のデータ保護要件を並べて比較し、cloak.businessがそれぞれにどのように対応しているかをご覧ください。

個人データを扱う組織は、複数の重複する規制をナビゲートする必要があります。このマトリックスは、PII保護に関する最も関連性の高い4つのフレームワークを比較し、cloak.businessがそれぞれにどのように対応しているかを示します。

フレームワーク比較

GDPR

一般データ保護規則

Scope: 処理組織の所在地に関係なく、EU/EEA居住者のすべての個人データ。
Jurisdiction: 欧州連合 / 欧州経済領域
Data Types: 特定されたまたは特定可能な自然人に関する情報 — 名前、メールアドレス、IPアドレス、位置データ、生体データなど。
Penalties: 最大2000万ユーロまたは全世界の年間売上高の4%、いずれか大きい方。
Key Requirements:
  • 処理の法的根拠(同意、契約、正当な利益)
  • データ保護影響評価(DPIA)
  • 消去権およびデータポータビリティ
  • 特定の組織のためのデータ保護責任者(DPO)
  • 72時間の違反通知
  • 設計段階からのプライバシーおよびデフォルトでのプライバシー
How cloak.business helps:70以上の国での自動PII検出、データ最小化と仮名化のための可逆暗号化、監査ログ、ドイツのデータ居住地(EU管轄)。

CCPA/CPRA

カリフォルニア州消費者プライバシー法 / カリフォルニア州プライバシー権法

Scope: 収益またはデータ量の閾値を満たす企業によって収集されたカリフォルニア居住者の個人情報。
Jurisdiction: カリフォルニア州、アメリカ合衆国
Data Types: カリフォルニアの消費者または世帯に関連する、またはリンクされる可能性のある情報 — 名前、SSN、地理的位置、閲覧履歴、生体データ。
Penalties: 故意の違反につき最大7500ドル;不注意の違反につき2500ドル。データ侵害に対する私的訴訟権(1件あたり100ドル〜750ドル)。
Key Requirements:
  • 収集されるデータを知る権利
  • 個人情報を削除する権利
  • データ販売からオプトアウトする権利
  • 合理的なセキュリティ対策
  • 更新されたプライバシーポリシーの開示
  • データ最小化(CPRAの追加)
How cloak.business helps:米国特有のPII(SSN、運転免許証、州ID)を検出・分類し、共有前に匿名化し、消費者データリクエストのための監査証跡を維持します。

HIPAA

医療保険の携帯性と説明責任に関する法律

Scope: 対象となる団体およびそのビジネスパートナーが保有する保護された健康情報(PHI)。
Jurisdiction: アメリカ合衆国(連邦)
Data Types: 名前、日付、電話番号、メールアドレス、SSN、医療記録番号、健康プランID、生体識別子を含む18のHIPAA識別子。
Penalties: Tier 1: 違反ごとに100ドル〜50,000ドル。Tier 2: 1,000ドル〜50,000ドル。Tier 3: 10,000ドル〜50,000ドル。Tier 4(故意の怠慢): 違反ごとに50,000ドル以上、カテゴリーごとに年間最大150万ドル。
Key Requirements:
  • 管理的、物理的、技術的な保護措置
  • PHIの暗号化(アドレス可能な仕様)
  • アクセス制御と監査証跡
  • ビジネスアソシエイト契約(BAA)
  • 60日以内の違反通知
  • データ使用のための最小限必要基準
How cloak.business helps:HIPAAの18のセーフハーバー識別子の大部分を検出(SSN、名前、日付、電話番号、メール、医療記録番号、IP、URL)し、AES-256-GCMで暗号化し、監査ログを提供します。

ISO 27001

ISO/IEC 27001:2022 情報セキュリティ管理

Scope: 人、プロセス、技術を含む任意の組織の情報セキュリティ管理システム(ISMS)。
Jurisdiction: 国際(任意の認証)
Data Types: すべての情報資産 — 個人データに限定されない。知的財産、財務データ、従業員記録、その他の機密ビジネス情報を含む。
Penalties: 直接的な規制罰則はなし。認証の喪失、契約上の結果、評判の損失。多くの企業契約はISO 27001を要求。
Key Requirements:
  • ISMSの設立と維持
  • リスク評価と処理方法論
  • 4つのテーマにわたる93のコントロール(附属書A)
  • 内部監査と管理レビュー
  • 継続的改善プロセス
  • 適用可能性の声明(SoA)
How cloak.business helps:cloak.businessは、ドイツのHetznerのISO 27001:2022認証インフラストラクチャ上で運営されています。暗号化(A.8.24)、アクセス制御(A.5.15)、インシデント管理(A.5.24〜A.5.28)を含む附属書Aのコントロールに準拠しています。

簡易比較

側面GDPRCCPA/CPRAHIPAAISO 27001
種類規制(法律)州法連邦法任意の標準
地理的範囲EU/EEA + グローバルな影響カリフォルニアアメリカ合衆国国際
適用対象EUデータを処理する任意の組織閾値を超える企業対象となる団体 + BA任意の組織(任意)
暗号化が必要か?推奨(義務ではない)合理的なセキュリティアドレス可能(強く推奨)リスクベース(A.8.24)
違反通知72時間不当な遅延なしに60日インシデントレスポンスプランに従う
削除の権利はい(消去権)はい(削除権)制限あり(修正権)ISMSポリシーに従う

よくある質問

cloak.businessはGDPRとCCPAのコンプライアンスを同時に支援できますか?

はい。cloak.businessは70以上の国でPIIを検出し、すべてのEU加盟国および米国特有の識別子(SSNやカリフォルニアの運転免許証など)を含みます。同じ匿名化パイプラインが両方のフレームワークに対応しており、検出、分類、匿名化、監査のためのすべての操作をログに記録します。

cloak.businessはHIPAAの非識別化をサポートしていますか?

はい。cloak.businessは、SSN、名前、日付、電話番号、メール、医療記録番号、IPアドレス、URLを含むHIPAAの18のセーフハーバー識別子の大部分を317のパターン認識器を使用して検出します。セーフハーバー方式に従ってデータを非識別化できます。すべての操作はAES-256-GCMで暗号化されています。

ISO 27001の認証はGDPRコンプライアンスにどのように関連していますか?

ISO 27001はGDPRの技術要件をサポートするセキュリティ管理フレームワークを提供します。GDPRは法的要件であり、ISO 27001は任意の標準ですが、ISO 27001のコントロール(特にアクセス制御、暗号化、インシデント管理)を実施することは、GDPR第32条が要求する「適切な技術的措置」を示します。

私の組織はどのコンプライアンスフレームワークを優先すべきですか?

データと地理によります。EUの個人データを処理する場合、GDPRは必須です。カリフォルニアの消費者データを扱う場合、CCPAが適用されます。米国で健康データを扱う場合、HIPAAが必要です。ISO 27001は任意ですが、企業契約には広く期待されています。複数のフレームワークに該当するほとんどの組織は、統一されたアプローチから利益を得ます — cloak.businessはすべて4つのフレームワークに対応する1つのプラットフォームを提供します。

すべてのコンプライアンス要件を満たす

数分で、すべての規制フレームワークにわたってPIIを検出し、匿名化を開始します。