GDPR とは？

GDPRはデータ処理のための7つのコア原則を定めています。適法性、公正性、透明性、目的制限、データ最小化、正確性、保存制限、完全性と機密性、説明責任。この規則は個人にデータに対する重大な権利を付与しており、アクセス権、訂正権、消去権（「忘れられる権利」）、データポータビリティ、処理への異議申し立て権が含まれます。

完全性と機密性の原則（第5条1項f）は、個人データが「適切なセキュリティ」で処理されることを要求しており、不正アクセス、偶発的な損失、または破壊からの保護を含みます。第32条は組織がリスクに見合った技術的措置を実施することを明示的に義務付けており、暗号化と仮名化を適切な措置として明示的に挙げています。データ侵害は72時間以内に監督機関に報告しなければならず、潜在的な罰金は年間グローバル売上高の4%または2,000万ユーロのいずれか高い方に達します。

GDPRのデータ最小化と保存制限の原則は、組織がクレデンシャルとシークレットを扱う方法に直接的な意味合いを持ちます。メールスレッドや永続的なチャットログにパスワード、APIキー、またはアクセストークンを保管することは、セキュリティを確保して最終的に削除しなければならない不必要なデータのストアを作ります。保有するすべてのデータ（運用シークレットを含む）に対して適切なセキュリティ措置を証明できない組織は規制リスクに直面します。

Vaulted における GDPR の使われ方

VaultedはGDPRのコア原則に設計上で整合しています。データ最小化は、設定されたビュー回数または有効期限後にシークレットを自動削除する自己消滅リンクによって達成されます。意図された使用を超えてデータは保持されません。保存制限の原則はデータストアのTTLベースの自動有効期限によって適用されます。クライアントサイドAES-256-GCM暗号化とゼロナレッジサーバーアーキテクチャが完全性と機密性を確保します。Vaultedのインフラでも共有された平文にアクセスできず、潜在的なデータ侵害通知義務の範囲を削減します。