三つの規制の問題
英国に拠点を置くグローバルマーケットプレイスは、80か国からの売り手確認書類を処理しており、EUベースの売り手にはGDPR、ブラジルの売り手にはLGPD(Lei Geral de Proteção de Dados)、インドの売り手にはインドのデジタル個人データ保護法(DPDP)の3つの規制フレームワークに同時に直面しています。各フレームワークは、異なる国家識別子を保護された個人データとして指定し、特定の取り扱いを要求します。
ブラジルのCPF(Cadastro de Pessoas Fisicas): 形式がXXX.XXX.XXX-XXの11桁の個人納税者識別番号。最後の2桁は特定のモジュラー算術アルゴリズムから導出されたチェックデジットです。ブラジルのLGPDは、CPFを自然人のユニークな識別子として扱い、SSNと同等の感度を持ちます。CPF形式とチェックサムアルゴリズムを知らないツールは、それを検出できません。
インドのAadhaar: インドのユニーク・アイデンティフィケーション・オーソリティによって発行される12桁のバイオメトリック識別番号。CPFやSSNとは異なり、Aadhaar番号はランダムに割り当てられ、Verhoeffアルゴリズムのチェックデジットが付与されています。インドのDPDP法は、Aadhaarに関連するデータを処理する組織に義務を課しています。検出には、形式認識(12桁の連続数字とVerhoeffチェック)と文脈に応じた抑制(すべての12桁の数字がAadhaarであるわけではない)が必要です。
米国のSSN: 文書化された地域番号制約(最初の3桁)、グループ番号構造(中間の2桁)、およびシリアル番号範囲(最後の4桁)を持つ9桁の社会保障番号。検証アルゴリズムは確立されており、文書化されています。
これら3つの識別子は、異なる形式、異なる検証アルゴリズム、異なる規制の文脈を持っています。ブラジル、インド、米国からの文書を同時に処理するコンプライアンスシステムは、1つの国の形式のために構築された単一のツールに依存することはできません。
実践における多規制のギャップ
SSN検出とグローバルカバレッジのギャップは、ほとんどのコンプライアンスチームが認識しているよりも大きいです。「私たちのPIIツールが機能している」と確認するために米国のデータに対してテストを行う組織は、規制イベントが失敗を浮き彫りにするまで、非米国形式で失敗することに気づきません。
GDPR第28条は、すべてのデータプロセッサとの書面によるデータ処理契約を要求します。匿名化ツールのDPIAは、そのツールが処理されるデータに存在するすべての識別子形式をカバーしているかどうかを考慮する必要があります。ブラジルの売り手のCPF番号を含むデータセットの主要なPIIコントロールとして「SSN検出」をリストするDPIAには、文書化されたコンプライアンスギャップが含まれています — これは規制監査で特定できるものです。
GDPRの4%のグローバル年間収益の最大罰金、LGPDの同等の規定、およびDPDPの新たな執行の組み合わせは、単一国のPII検出ツールに依存するグローバル組織にとって、複合的な規制リスクを生み出します。
出典: