Articles /

データ保持ポリシーとは何ですか?

画像

データ保持ポリシーは、一定期間レコードを保持するための会社の確立されたプロトコルです。 レコード保持ポリシーまたはバックアップ保持ポリシーとも呼ばれます。 目標は、データを保護し、特定のビジネスニーズ、業界ガイドライン、または法的要件への準拠を確保することです。

包括的なデータ保持ポリシーとレコード管理計画は、企業が特定のレコードを保持したい理由と、このデータを保存またはアーカイブする場所を詳細に説明し ポリシーには、各タイプのデータの責任者と、保持期間の終了時にデータがどのように削除(または消去)されるかに関する情報も含める必要があります。

データ保持ポリシーでは、企業がデータ損失を経験した場合に回復するのに役立つバックアップストレージ手順も指定する必要があります。

データ保持ポリシーが重要なのはなぜですか?

定期的なバックアップとアーカイブ

予期しない災害に直面した場合、ビジネス継続計画には適切なデータバックアップが不可欠です。 組織に包括的なデータバックアップ対策が整っていないとします。 その場合、障害復旧は不完全であり、適切に機能するために必要なデータやレコードへのアクセスが不足しているため、ビジネス継続性に影響を与えます。

一方、データのバックアップが多すぎると、回復プロセス中に混乱を引き起こす可能性があります。 さらに、不要な保持と完全バックアップは、高価なストレージスペースを消費し、ネットワークアクセス速度を低下させる可能性があります。

このように、データ保持ポリシーは、ビジネスが適切な時間の間、適切なデータを保持またはバックアップすることを保証するのに役立ちます。

合理化されたデータ管理

保持ポリシーは、企業の全体的なデータ管理戦略の一部です。 組織は、保持するすべての異なるタイプのデータとレコード、および各タイプの保存とバックアップの期間を概説する必要があります。 このポリシーは、古いデータや重複したデータが適切に破棄され、関連性があり有用なデータを簡単に見つけることができるようにするのに役立ちます。

法令遵守

効率的なデータ管理とレコード管理は、コアビジネス機能をサポートし、組織が法的、法定、規制上の義務を満たすのに役立ちます。 近年では、データのプライバシーへの焦点が増加しており、世界中のより複雑な法律や規制につながっています。

一例として、米国の上場企業は、Sarbanes-Oxley Act(SOX)で概説されているデータ保持要件を満たすために保持ポリシーを確立する必要があります。 同様に、医療機関は、健康保険の携行性と説明責任法(HIPAA)のデータ保持要件の対象となります。

さらに、クレジットカードなどを介して顧客の支払いを処理する企業は、Payment Card Industry Data Security Standard(PCI DSS)で規定されているデータ保持およびデータ廃棄の要件を遵守しなけ

EU市民の個人データを世界中で収集および処理する企業は、欧州連合の一般データ保護規則(GDPR)のデータ保持要件を遵守しなければなりません。 GDPRデータ保護法に準拠するために、データ保持ポリシーは、収集対象、収集理由、保管場所、および保持期間を説明する必要があります。

これらの法律の遵守を達成することに加えて、データ保持ポリシーは、組織がデータのプライバシーと機密性を維持することを保証するのに役立ちます。 また、コンプライアンス違反の罰金やその他の懲罰的措置や将来の法的責任から会社を保護することもできます。

ビジネスニーズを満たす

組織は、データ保持ポリシーを必要とする特定の契約上およびビジネス上のニーズを持つこともできます。 したがって、ポリシーは、会社が特定のデータセットを保持する期間と、訴訟やその他の混乱が発生した場合に例外を作成する方法を指定する必要があり

適切なデータ保持の決定方法

効果的なデータ保持ポリシーを実装するには、まず企業が保存するデータの種類を特定する必要があります。 次に、そのデータを分類する必要があります。 “適切な”データ保持は、多くの場合、保持するデータのタイプに依存するため、これらの手順は重要です。

データのライフサイクルまたは保持期間も重要です。 一部のデータは、スタンドアロンの電子メールのように、自動削除の前に短い保存期間で分類することができます。 販売契約や関連する詳細などの他のレコードは、長年保存する必要があります。

たとえば、医療機関は、患者の名前、生年月日、社会保障番号、医療データなどの個人を特定できる情報(PII)を保存します。 金融サービス会社は、顧客のクレジットスコア、支払い履歴、およびローン情報を格納します。 保持ポリシーでは、これらの各データ型を考慮し、それに応じて適切なライフサイクルを割り当てる必要があります。

成功したデータ保持ポリシーの主要コンポーネント

データ保持ポリシーは、組織が紙ベースとデジタルレコードの両方をバックアップ、アーカイブ、削除する方法をカバーする必要があります。 最終的な文書は、複数のグループからの入力と全体的かつ凝集する必要があり、企業全体に適用されます。 ポリシーは更新または改訂することができ、これらの改訂の記録は文書内に維持する必要があります。

データ保持またはデータバックアップポリシーには、以下のセクションの一部またはすべてが含まれている場合があります。

適用される法的要件およ 要件や規制の変更に応じて更新する必要があります。

データ保持手順

各レコードとデータ型には、異なる保持期間とプロセスがあります。 データがどこに保持されるか、どのようにバックアップされるか、およびどのくらいの期間を考慮します。 各データ型を所有し、そのデータ型の管理を担当するロールまたはチームを指定します。 また、どのタイプのレコードを保持する必要がなく、すぐに削除できるかについても言及することが重要です。

データ破棄手順

保持時間が経過したときにレコードがどのように削除されるかを強調することが不可欠です。 紙文書を破棄するプロセスを指定します。 手動で削除する必要がある電子文書と、システムによって自動的にパージされる電子文書の詳細。

データアーカイブ手順

一部のデータは日々の使用には必要ないかもしれませんが、法的または規制上の理由からアーカイブする必要があります。 アーカイブ手順では、ドキュメントの種類、保管場所、および取得プロセスを指定します。

一部の紙の文書は、必要な場合にのみ検索のためにオフサイトに保存されている可能性があります。 特定の電子文書は、迅速な応答時間を確保し、ローカルサーバー上の混乱を避けるために、異なるサーバーに保存されることがあります。

例外処理

組織は、標準的なデータの保持、破棄、またはアーカイブ手順に対していくつかの例外を持つことがあります。 混乱や誤解がないように、データ保持ポリシーでこれらの例外を明確にすることが重要です。

検出、法的、または監査の要求に対する適切な応答

検出、法的、または監査の要求がある場合、組織は標準化された応答を持つ必要があります。 このセクションでは、応答のプロセス、応答を行う責任者、およびそれがどのように文書化されるかを指定する必要があります。

上記のセクションに加えて、包括的な保持ポリシーには次のものが含まれている必要があります:

  • 会社名と連絡先の詳細
  • バージョン管理
  • ポリシーの目的
  • 影響を受ける利害関係者
  • 使用される主な用語
  • 関係者の役割と責任

データ>

ストレージスペースは高価になる可能性があり、すべてのデータをバックアップする必要はありません。 データの保持とバックアップに関しては、すべての組織のニーズが異なります。 バックアップ戦略、頻度、または保持期間については、設定されたルールはありません。 組織は、データ保持ポリシーを策定する際に、要件を総合的に評価する必要があります。

ただし、組織が開始するために検討できるいくつかのベストプラクティスがあります。

データ型の識別と分類

データの分類は、どのデータをバックアッ これらの質問は、特定の種類のデータをバックアップする必要があるかどうかを判断するのに役立ちます:

  • データは今重要ですか?
  • 将来的には重要なままになる可能性がありますか?
  • それは所有的な知的財産ですか?
  • それは機密ビジネスの秘密を構成していますか?
  • 恒久的な文書ですか?

法的要件を特定する

ここで最も重要な質問は、コンプライアンスまたは監査にデータが必要かどうかです。
組織は、一定期間データをバックアップするための法的要件または規制要件があるかどうかを判断し、それに応じてバックアップポリシーを管理す

ビジネス要件の特定

バックアップポリシーは、各データ型とそれらのバックアップ方法に関する組織のビジネス要件を考慮する必要があります。 これは、データ損失の確率、データの相対的な重要性、およびデータが更新される頻度に依存する可能性があります。

関連する詳細を指定する

ポリシーには、次のような詳細が含まれている必要があります。:

  • バックアップ頻度
  • 保存期間
  • 暗号化要件
  • アクセス方法
  • バックアップデータへのアクセスを許可された担当者

ZenGRCをデータ保護計画

-データの量が増えて、彼らはしばしば適切に使用、保存、アーカイブ、およびそれを破壊するのに苦労します。 データのライフサイクルを手動で管理することは、非効率的でリソースを大量に消費し、深刻なセキュリティおよびコンプライアンスリスクを作成す

これらの課題に対処するには、自動化されたデータ保持レコード管理およびバックアップソリューションが必要です。 ZenGRCのような包括的なプラットフォームは、あなたが必要とする便利さと機能を提供する場所です。 ZenGRCは、ビジネスのデータ保持戦略に簡単に組み込むことができ、法的要件や規制要件を簡単に満たすことができます。

ZenGRCは、組織がデータライフサイクルを自動化し、防御可能な監査機能を提供し、構造化された保持ポリシーを実施し、追跡可能な説明責任を維持することを可 デモを入手し、ZenGRCの自動化ワークフロー、統合、および構成についての詳細をご覧ください。

Leave a Reply