A Personal data Value at Risk Approach

要約

データ保護の主な脆弱性がリスク管理である場合はどうなるでしょうか?
データ保護は、データ保護法、情報セキュリティ、リスク管理の 3 つの分野を統合します。
それにもかかわらず、データ保護のリスク管理の分野に関する研究はほとんど行われておらず、主観性と表面性が主流となっています。
GDPR は何をすべきかについては指示しますが、その方法については指示していないため、GDPR 準拠に近づくためのソリューションは依然としてグレーゾーンであり、経験則を使用する傾向が見られます。
リスク管理の最も重要な目標は、情報に基づいた意思決定を行うために不確実性を軽減することであることを考慮すると、データ主体の権利と自由を保護するためのリスク管理は、データ管理者と処理者が評価する必要がある影響の具体化から切り離すことはできません。
このペーパーでは、データ管理者の観点から、データ保護のリスクベースのコンプライアンスに対する定量的アプローチを提案します。これは、データ保護分析、定量的リスク分析、専門家の意見の調整を使用することでデータ保護の影響評価を改善できるという考え方の変化を提案することを目的としています。
。

要約(オリジナル)

What if the main data protection vulnerability is risk management? Data Protection merges three disciplines: data protection law, information security, and risk management. Nonetheless, very little research has been made on the field of data protection risk management, where subjectivity and superficiality are the dominant state of the art. Since the GDPR tells you what to do, but not how to do it, the solution for approaching GDPR compliance is still a gray zone, where the trend is using the rule of thumb. Considering that the most important goal of risk management is to reduce uncertainty in order to take informed decisions, risk management for the protection of the rights and freedoms of the data subjects cannot be disconnected from the impact materialization that data controllers and processors need to assess. This paper proposes a quantitative approach to data protection risk-based compliance from a data controllers perspective, with the aim of proposing a mindset change, where data protection impact assessments can be improved by using data protection analytics, quantitative risk analysis, and calibrating expert opinions.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google