GDPR/EU 準拠のビデオ監視技術を実装するための機能とヒント

一般データ保護規則 (GDPR) ヨーロッパには、ビデオセキュリティシステムに適用される特定の規制は含まれていません. ユルゲン・ザイラー, davidiTマネージャー, ダルマイヤーのコンサルティング子会社, この点に関する疑問を明確にします.

ビデオ技術の使用に関するGDPRの適用は、企業が遵守しなければならない要件についてまだ多くの不確実性を生み出しています. また、この規制に従ってビデオセキュリティシステムを簡単に構成できるようにするために、どのシステム機能が必要かについても不確実性があります.

多くのエンドユーザーは、新しい欧州のGDPRには、ビデオ監視システムに適用される特定の規制が含まれていないことに気づきました, そのため、GDPRに則った実装は各企業で異なります. また, それはおそらく、それを発展させる法学に加えて, 私が言いたいのは, 実際の解釈, 各会社に特定の違いが現れます - 例えば, 労使協議会の決議が異なるため- ビデオセキュリティの観点から.

データ保護とともに, また、データセキュリティもより重要視されています, 紛失や改ざんから保護する必要があるため. したがいまして: データセキュリティなくしてデータ保護なし, また、企業は両方の分野でGDPRに準拠する必要があります.

多くの企業にとって、要件を具体的に満たすために必要なコンポーネントは何かという疑問が生じています. メーカーはさまざまなアプローチを提案し、, 具体的には, Dallmeierのデータ保護およびセキュリティモジュールは、14の異なるコンポーネントを提供します.

データ保護 – データ主体の権利の保護: 記事で要求されているように 25 GDPRの, データ保護の原則とデータ主体の権利を保護するために、適切な技術的および組織的な措置を講じる必要があります.

ダルマイヤーモジュールには、これを達成するために4つの重要なコンポーネントがあります. この図は、このメーカーのデータ保護およびセキュリティモジュールの個々の機能がビデオデータ処理プロセス中にどのように実装されるかを示しています.

• 使用している人のピクセル化 マスキング, 必要に応じてキャンセルできます.
• キャプチャされた画像内の「プライバシーゾーン」の定義, 例えば, 公共エリアを隠す. この隠蔽は無効にできません, ライブも録音もしない.
• 各カメラまたは録画トラックの録画時間の設定, 目的が達成されたら、その抑制を保証する.
• プロジェクト計画中の詳細な3D仮想シミュレーションによるデータ保護に関係のない領域の視覚化. このようにして、それが可能です, 一方で, 画質が人物の認識を許さない場所を見つけ、, そこで, 個人データは生成されません.

一方, データ保護関連ゾーンの機能を事前に計画し、カスタマイズすることができます, とか マスキング.

データセキュリティ – 個人データの保護: RDPGはその記事で確立しています 32 リスクに適したセキュリティレベルを確保するために、適切な技術的および組織的な対策が実施されていること. 機密データや個人データを改ざんから保護するため, 紛失または不正アクセス, Dallmeierモジュールは、次の機能を提供します:

• 必要 に応じて, 「4アイズ主義」, 録音にアクセスするときに2つのパスワードが必要.
• アクセス権制御のためのAD/LDAPによるユーザーグループ管理.
• 安全な認証手順, IEEE 802.1Xに準拠, ネットワークを不正アクセスから保護するため.
• TLS によるエンドツーエンドの暗号化 1.2 / 256 伝送保護用のAESビット, データとビデオの両方, 現在のダルマイヤーシステム間.
• 各ユーザー・グループの記録期間の定義, この期間より前の画像は参照できません.
• サイバー攻撃による接続試行の確実な検出と防止. 不明なIPアドレスから接続の試行が繰り返し検出された場合, しばらくの間、自動的にブロックされます.
• 使用する可能性 機器映像システムセキュリティゲートウェイとして. このようにして, ビデオネットワークとプロダクションネットワークは分離されています, 不正アクセスの防止, 例えば, 屋外のカメラを通して, ネットワーク負荷を軽減します.
• すべてのハードウェアソリューションの開発, ソフトウェアとファームウェアを社内で、, それで, 後部ドアによる隠れたアクセスの不可能性, さらに強化されたオペレーティングシステム.
• のメカニズム フェールオーバーデータ損失に対する冗長性.
• 裁判所への入学のためのすべての基準を満たす証拠保全のためのLGC認証.

GDPRに準拠したデータ保護証明書に注意してください

原則として, EUは、データ保護認証またはデータ保護シールの導入を奨励しています, これらは透明性を高め、企業がGDPRへの準拠を証明しやすくする必要があるためです.

しかし, この分野では、考慮すべき重要なポイントがいくつかあります: 一方で, 2年間の移行期間にもかかわらず, 有効な認証は、 25 5 月 2019 GDPR要件への準拠を確保する. その他に, 特定の製品またはサービスに対する認証は取得できません, ただし、データ処理プロセスのみ.

要は, 可能じゃありません, 例えば, 「GDPR準拠」の監視カメラ. さらに, データ保護証明書とシールに関しては、認証機関自体と、それがデータ処理プロセスに提供する評価手順の両方に注意する必要があります, GDPRに従って正式に認定されています. 然も無くば, これらの証明書は、GDPRに関連して法的効力を持ちません.

「本物の」認定証明書が認められます, 例えば, 公式の国家認定機関の対応するロゴによる, 例えば、ドイツのDeutsche Akkreditierungsstelle (ダックス). 認定機関は、以下の機関を「審査」します。, ターン, データ保護の認証またはシールを付与する. そういうわけで, 企業は、GDPRに準拠したデータ保護証明書とシールの公式認定を目立たせ、「架空の」証明書に不必要なお金を費やすべきではありません.

から 25 5 月 2018, データ保護法については、紙の上には多くの段落や記事がありますが, 実際の実装におけるその最終的な解釈はまだまったく明確ではなく、国内およびヨーロッパのデータ保護監督当局によって集中的に議論され、定義されます, これには、論争の的となっている点に関する欧州司法裁判所による最終評価が含まれます.

そういうわけで, ビデオセキュリティに関して、企業にとって最善の方法は、個々の関係者を信頼しないことです - おそらく「架空の」証明書を使って- ビデオセキュリティソリューションの, しかし、処分するために, ビデオデータ処理プロセス全体, データ保護とセキュリティに関連する技術と手順のうち、必要なもののうち, 予見可能な要件に柔軟に対応するために.

ユルゲン・ザイラー

ダビディTマネージャー, のコンサルティング子会社 ヴァルマイヤー

 

 

 

 

 

その他の記事について ヴァルマイヤー