クライアントベースのアクセス制御
クライアントベースのアクセス制御(CBAC)は、顧客がリポジトリ内の自分の個人識別情報(PII)を表示、変更、および消去できるようにするフレームワークを開発者に提供します。CBACは欧州連合の「General Data Protection Regulation(GDPR)」、「California Consumer Privacy Act(CCPA)」、その他同様のデータプライバシー法に基づく要件に準拠する手段として利用されています。組織が欧州連合の圏外に所在する場合でも、アプリケーションの利用者は圏内にいる可能性があるため、データ保護規制に準拠することは重要です。
補足: GDPRおよびCCPAデータプライバシー法の詳細については、一般データ保護規則(General Data Protection Regulation)のウェブサイトおよびカリフォルニア州司法省検事局(Office of Attorney General)ウェブサイトのカリフォルニア州消費者プライバシー法(California Consumer Privacy Act)のページをご覧ください。
CBACにより、開発者は顧客のシステムオブレコードで管理されているPIIをその顧客に公開できるようになります。CBACを使用してPIIを公開する場合、顧客はアプリケーションのデータベースに保存することを希望しない情報をコントロールし、変更したり、消去したりできます。
顧客のシステムオブレコードに含まれ、情報を所有するクライアントに公開される可能性のある情報の例には、顧客名、住所、社会保障番号(SSN)、クレジットカード番号が含まれます。
開発者は顧客が変更および消去できる情報を決定します。たとえば、ビジネス要件およびアルコール販売や車両レンタルなどに関するさまざまな規制や法律に遵守するため、開発者はユーザーが生年月日を変更または消去することを許可しない場合があります。
補足: CBACは、アプリケーションのセキュリティを保護するための1つの方法に過ぎません。セキュリティに関するリーディングプラクティスの完全なリストについては、Pega Platformデプロイメントのための「セキュリティチェックリスト」の概念を参照してください。
一般データ保護規則(EU)
次の画像で、「+」アイコンをクリックして、コンプライアンスを達成するために組織が遵守しなければならないGDPRで概説されている7つの原則について学習します。
クライアントベースのアクセス制御アプリケーション構造
Pega PlatformのCBACには、Pega GDPRリクエスト管理アプリケーション(RMA)と1つ以上のPega Platformアプリケーションが含まれます。RMAは、顧客の権利を表示し、CBACリクエストを送信するために使用されます。クライアントはRMAとやり取りし、RMAは指定された1つまたは複数のリポジトリとやり取りして、データ自体を管理します。個人データの使用の修正、消去、制限に関する顧客のリクエストは、REST APIを使用して行われます。Pega Platformアプリケーションは、個人データを使用してPegaデータベースに保存し、顧客のリクエストを実行するために使用されます。
補足: Pega GDPR/CCPA AcceleratorアプリケーションはPega Customer Service™により提供されます。顧客は、このアプリケーションをカスタマイズして、自社のビジネスポリシーや要件を反映させることができます。クライアントは、GDPR/CCPA Acceleratorを使用して、独自のGDPRリクエスト管理アプリケーションを作成できます。Pega GDPR/ CCPA Acceleratorアプリケーションは、Pega Marketplaceから入手可能です。
次の画像で「 +」アイコンをクリックすると、複数のPegaアプリケーションをサポートするGDPRリクエスト管理アプリケーションによるケース処理の詳細が表示されます。
GDPRリクエスト管理アプリケーションと複数のPega Platformアプリケーションを実装することで、CBACが有効になります。CBACによって、顧客は自分の個人データを管理し、組織が必要不可欠とみなしていない情報を削除できます。
クライアントベースのアクセス制御のルール
CBACを導入する場合、開発者は個人データが保存されるクラスごとにクライアントベースのアクセスルールを作成します。たとえば、個人データと識別コードが同じクラスにある場合、開発者はアプリケーション全体で1つのCBACルールを作成します。個人データと識別コードが複数のクラスに保存されている場合、開発者はクラスごとにCBACルールを作成します。
CBACルールにより個人データが記述され、データがPegaデータベースのどこに保存されているかが識別されます。プロパティをCBACポリシールールに追加すると、プロパティの表示アクセスが有効になります。下の画像に示すように、開発者は該当のチェックボックスをオンにすることで、アプリケーションユーザーがデータに対して「Rectify」および「Erase」のアクションを実行する権限を追加できます。
開発者はアプリケーションユーザーによる個人データの使用の同意について決定できるようにできます。たとえば、銀行のオンラインアプリケーションの顧客は、銀行がオンラインバンキングアプリケーション内の機能に個人データを使用することを許可しても、マーケティング目的に使用することを許可しないようにできます。
補足: クライアントベースのアクセス制御の設定の詳細については、「Defining client-based access control rules」を参照してください。
次の問題に答えて、理解度をチェックしましょう。
このトピックは、下記のモジュールにも含まれています。
- アクセス制御 v4
トレーニングを実施中に問題が発生した場合は、Pega Academy Support FAQsをご確認ください。