promo gdpr desktop
 

Avigilon で GDPR に準拠する

PDF でダウンロードする

1

The General Data Protection Regulation (GDPR) is a new regulation under European Union (EU) law regarding data protection and privacy for all individuals within the EU and individuals whose personal data is processed by EU-established organizations. The new regulation imposes new obligations on those who collect, store, and process such data. The GDPR went into effect in all EU countries on May 25th, 2018.

GDPR は、映像を考慮に入れて明示的に記載されてはいないため、映像はカメラで捉えられた被写体の個人データと見なされます。そのため、規則では、映像監視システムを所有し運用している人は、映像監視システムの影響を慎重に考慮、文書化、管理する必要があることが示唆されています。

Although technology (such as Avigilon Control Center (ACC) video management software) cannot itself be GDPR compliant, all technology providers must consider how their products and solutions can assist enterprises in deploying and operating a GDPR compliant system. Avigilon has taken care to ensure that its video security solutions include features and functionality that will support GDPR compliance.

This page provides a simple framework based on five basic principles of the GDPR to help support compliance of a Data Controller's video system. Additionally, it highlights the specific capabilities within Avigilon's video security solutions that will help enable an organization to be compliant.

GDPR の 5 つの基本原則

  • 明確に正当化された目的
    すべての組織は、個人データの収集および処理を行うために、有効かつ法的な基準が必要です。
  • デザインごとのプライバシー
    GDPR では、システムの設計および作動において、プライバシーを最優先事項とするよう要求されています。データ プライバシーに関して取られるアプローチは、後追い型ではなく先取り型である必要があります。リスクは予測すべきであり、目的はイベントが発生する前にそれを防止することです。
  • アクセスする権利
    第 15 条では、GDPR は個人にその人の個人データに対する権利を付与しており、それにはそのデータを参照する権限が含まれます。
  • 忘れられる権利
    Under Article 17, the GDPR gives individuals control over their personal data including the right to have their personal data erased if it is no longer necessary for the intended purpose of the system.
  • セキュリティ
    GDPR では、組織が包括的なポリシーと、組織が常に個人データを管理下に置いておくための手順を備えているよう求めています。さらに、データ侵害は、国の政府によって任命された管轄当局に 72 時間以内に報告する必要があります。

 

原則映像システムの影響準拠を促進するために推奨されるアクション関連する Avigilon の特徴や機能

明確に正当化された目的

映像システムの目的、収集された情報の種類、その情報を使用する目的、人物、期間に関する説明が文書化されました。

プライバシー侵害の危険性が高いと判断される特定のケースでは、形式化されたデータ プライバシー影響評価 (DPIA) が必要です。

詳細を含むサインが掲示されるようにします。データ主体はその詳細から追加情報を見つけることができます。

データ収集の目的、完了した処理の種類 (ライブまたは録画)、データの保持期間などの情報をデータ主体が入手できるようにします。

DPIA が必要かどうかを考慮します。

なし。これらの手順に基づく要件はデータコントローラの責任です。

デザインごとのプライバシー

組織は、システムが表明された目的の範疇に留まるためにどのように設計されているかを慎重に考慮し、文書化する必要があります。

システムのドメイン (隣接する公共エリアなど) から外れた主体の個人データを取得しないよう注意を払う必要があります。

誰がどの情報 (ライブ/録画、タイムフレーム、解像度など) および誰がどの機能 (検索など) にアクセスできるかを慎重に考慮する必要があります。

Avigilon System Design Tool (SDT) を使用すると、解像度をカメラシーンや必要な記録期間等に合わせて記録できます。

オペレーター、調査員、システム管理者、システムへのアクセス権を持つ他のユーザーの役割と責任を確認します。

アイデンティティ (入店する人の顔など) を捉えるのに特化したカメラを調査する任務を与えられているグループへのアクセスを制限することを考慮します。

記録された映像へのオペレーターのアクセスを完全に、または最後にログインしてから記録された映像のみ、あるいはデュアル認証付きの映像のみに制限することを検討します。

管理者アカウントのパスワードを知っているのが指定された人だけであり、管理作業にのみ使用されることを確認します。

SDT は、インストール前にシステムを計画し、カバレッジ、解像度、保持期間が適切に考慮されたかを確認するのに役立ちます。

ACC™ offers control over user permissions, ensuring security personnel can only access the video data that they need to do their job.

ACC will control the resolution of the video displayed based on user permissions.

ACC requires explicit user permissions to access search functionality that uses personally identifiable information such as personal appearance, access control identity cards, license plates, or point-of-sale-information.

アクセスする権利

申請時には、組織はデータ主体に対して、その組織に関して収集したすべての個人データを提供する必要があります。これには、映像監視システムによって収集された映像が含まれます。

データ主体に映像を配信する場合、映像に登場する他の人物は顔を隠されるか、別の方法で匿名化される必要があります。

正式な手順およびポリシーは、アクセス要求の権利を取り扱うために作成されていることに注意してください。

ACC を使用すると、映像をブックマークに登録し、エクスポートできます。

Avigilon Appearance Search™ テクノロジーACC に組み込まれています。これによって、ユーザーは特定の個人の記録映像を見つけ、ブックマークに登録し、エクスポートできます。

Appearance Search results can be exported by ACC while anonymizing images of all other subjects in the video.

忘れられる権利

特定のテーマを映像から削除するのは実際的でないため、データ プロセッサは文書化されたシステムの目的に従って映像の保持期間を厳密に制限する必要があります。

すべてのカメラの保持期間を確認し、文書化されたシステムの目的に従って設定されているようにします。

ACC strictly enforces end-user specified limits on retention time per camera and license plate captures.

サイバーセキュリティ

適切なすべての組織的および技術的対策を取って、個人データを侵害から守ります。

侵害の発生を報告する際には、GDPR ガイドラインに厳密に従います。

パスワードの制御およびアカウントの使用に関するセキュリティ ポリシーを確認します。

すべてのグループに対して、最低限必要なパスワード強度要件を設定することを検討します。管理アカウントに対しては、より高いパスワード強度要件を設定することを検討します。

保護の状態を監査し、侵害を検出するためのプロセスを実行します。

パスワードの共有、またはシフトの終わりまたは初めにログオフ/ログオンしないことによって、ユーザーがアカウントを共有することがないようにします。

データ侵害のイベントにおける適切なアクションを管理するための文書化されたポリシーおよび手順を維持します。  

ACC は、強力なパスワードの適用、接続の認証、データの暗号化を含むセキュリティ対策を採用しています。

ACC は、すべてのユーザー アクションのアクティビティログを提供して、監査担当者がいつ、誰が、どのリソースにアクセスしたかを確認できるようにします。

その他のリソース

ICO.org 一般データ保護規則のガイド

EU Data Protection Supervisor, “The EDPS Video-Surveillance Guidelines” (PDF) (データ保護観察機関、「EDPS 映像監視ガイドライン」)

EU Data Protection Supervisor, “Article 13 – Information to be provided where personal data are collected from the data subject,” (データ保護観察機関、「第 13 条 - データ主体から個人データが取得される場合において提供される情報」)

EU Data Protection Supervisor, “Article 15 – Right of access by the data subject,” (データ保護観察機関、「第 15 条 – データ主体によるアクセスの権利)

EU Data Protection Supervisor, “Article 25 – Data protection by design and by default,” (データ保護観察機関、「第 25 条 – データ保護バイデザイン及びデータ保護バイデフォルト)

EU Data Protection Supervisor “Article 33 – Notification of a personal data breach to the supervisory authority,” (データ保護観察機関、「第 33 条 – 監督機関に対する個人データ侵害の通知」)

 

This page should not be construed as legal advice and is being provided for informational purposes only. This flyer is summative in nature and should not be relied on as a comprehensive analysis or outline of all GDPR compliance considerations relevant to you. Compliance with privacy legislation is context and situation specific. As the end-user of Avigilon products, it is your responsibility to ensure your actions are compliant with applicable privacy legislation (including the GDPR). If you are seeking advice in this regard, you should contact qualified legal counsel.


用語

ACC バージョン カメラでテストした ACC の最新バージョン。これ以降の ACC バージョンについても、特に明記されない限りはサポートされます。
音声入力 カメラから音声フィードを受信します。
音声出力 カメラに接続されたスピーカーに音声を送信します。
オートディスカバリー LAN 環境で接続したときにカメラの IP アドレスを自動的に見つけます。
圧縮のタイプ カメラで利用できるエンコーディングの種類。
接続タイプ 使用するデバイス ドライバーの種類。個々のデバイスは、そのデバイス メーカーのデバイス ドライバーによって制御されます。
歪み補正 フィッシュアイカメラまたはパノラマカメラの歪みをクライアント側で補正します。
デジタル入力 カメラからデジタル入力またはリレー入力を受信します。
デジタル出力 カメラに物理的に接続されたデジタル出力またはリレー出力をトリガーします。
モーション 当該カメラでモーション レコーディングが利用できるかどうかを示すクイック ディスプレイ。
モーション設定 ACC Client におけるモーション検知の設定。
モーション レコーディング 動きが感知されたときだけ記録します。
PTZ 当該カメラで PTZ 機能が利用できるかどうかを示すクイック ディスプレイ。
PTZ コントロール PTZ の基本的な動き。
PTZ パターン/ツアー カメラのサポート状況に応じて PTZ パターンと PTZ ツアーのいずれかを作成してトリガーする機能。
PTZ プリセット PTZ プリセット ポジションを作成してトリガーします。
ユニット タイプ カメラの種類。
検査者 カメラの試験と機能の報告とを行った組織。
検証済みファームウェア 試験した個々のファームウェアのバージョン。
メーカー Blah
モデル DS-2DE2103
接続タイプ ONVIF
ユニット タイプ IP PTZ カメラ
圧縮のタイプ H.264

  • ACC バージョン
  • モデル DS-2DE2103
  • 接続タイプ ONVIF
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah
  • メーカー Blah