情報漏えいが組織に与える影響を理解し、情報漏えいを認識する方法と、情報漏えいのリスクを低減するためのセキュリティ対策を学ぶ。 | Prighter
ニュース

データ漏洩:なぜ問題なのか、どう備えるべきか

Women called Charlotte in a pantsuit. Elif Merve Demir

Charlotte Mason, Elif Merve Demir

データ漏えいは、データの影響を受けた個人に重大な、時には壊滅的な結果をもたらす可能性があり、GDPRが個人データの保護と漏えいが検出された場合の迅速な対応を重視しているのはそのためです。 このため、GDPRでは、個人データの保護と情報漏えいが検出された場合の迅速な対応が重視されています。また、情報漏えいは、組織にとって財務上および風評上の損害をもたらす可能性があるため、個人データの漏えいを迅速に特定し、それが引き起こす可能性のある損害を軽減する態勢を整えることが重要です。 本ガイドブックは、EUおよび英国のGDPRに関する個人データ侵害のトピックの入門書として設計されています。 発生するデータ漏えいの種類とその理由、データを安全に保ち、漏えいのリスクを低減するために組織が取るべき措置、データ漏えいが発生した場合に必要な措置について見ていきます。

セキュリティ事故と個人情報漏えい

個人データ漏洩がいつ発生したかを特定できるようにすることが重要です。 セキュリティ・インシデントと個人データ漏えいは、どちらも情報の機密性、完全性、または可用性が損なわれることによって発生します。 セキュリティ・インシデントでは、金融情報、商業上の機密データ、健康情報など、あらゆる情報が対象となります。 しかし、個人情報漏えいは、関連する法的枠組みで定義されているように、特に個人情報に影響を及ぼします。 GDPRでは、データ侵害は「個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティ違反」と定義されています。 ここでの重要なポイントは、すべての違反がインシデントに該当するものの、すべてのインシデントが個人データ漏洩に該当するわけではないということです。

データ侵害はどのように発生するのか?

データ侵害の種類を理解することは、組織がこれらのリスクに備え、対応するのに役立ちます。 例えば、従業員が誤って誤った受信者に情報を送信したり、悪意のあるリンクを不注意にクリックしたり、保存データの入ったデバイスを紛失したり、システムのセキュリティ設定を誤ったりすることによって、データ漏洩はしばしば偶発的に発生する。 最も一般的なのは、不適切なパスワードの使用、ソフトウェア・パッチの不足、一般的なサイバーセキュリティ意識の欠如が問題である。 もう1つの一般的なタイプの侵害は、外部からの脅威または内部犯人が関与する悪意のある侵害である。 このような侵害では、ハッキング、フィッシング、ランサムウェアなどの手口を使って脆弱性を突きます。例えば、フィッシング・メールがログイン認証情報を盗んだり、マルウェアがキー入力をキャプチャしたりする。 このような侵害は、通常、攻撃者が組織に対する金銭的利益や危害を目的としているため、より大きな損害を与える。 個人データの不正な開示や偶発的なアクセスは、機密保持違反として知られている。 データの不正または偶発的な改ざんは、完全性の侵害とみなされる。 データが偶発的または意図的に紛失したり、手の届かないところに置かれたりした場合、これは可用性違反として知られています。 1つの事故が、1つまたは複数のタイプの違反になる可能性があります。 火災や洪水などの不可抗力もデータ漏洩につながる可能性があります。

なぜデータ漏洩を気にするのか?

データ漏洩の意味を理解することは、個人データを扱うあらゆる組織にとって極めて重要です。情報漏えいの防止や適切な対処を怠ると、ビジネスのさまざまな側面や影響を受ける個人に深刻な結果をもたらす可能性があります。このセクションでは、データ漏洩に対する安全対策を優先すべき理由について見ていきます。

個人への被害

データ漏洩は、関係する個人の生活に直接影響を及ぼします。 詐欺、なりすまし、不正取引などの行為によって引き起こされる金銭的な影響について考える方が一般的です。 しかし、健康情報などの機微な個人情報の漏洩は、差別や人間関係の崩壊など、個人に壊滅的な社会的影響を与える可能性がある。 したがって、情報漏えいは、データが漏えいした人々に重大な物質的・精神的苦痛を与える可能性がある。

規制上の罰則(罰金など)

データ保護法は、コンプライアンス違反に対して重い罰則を課しています。EU GDPRの下では、罰金は最高2,000万ユーロまたは組織の年間世界売上高の4%に達する可能性があります。同様に、英国のGDPRでは、最高1,750万ポンドまたは世界売上高の4%の罰金が課されます。こうした多額の罰則は、厳格なデータ保護基準を守る強力な動機付けとなる。

風評被害

データ侵害は、組織の評判を著しく損なう可能性がある。顧客は自社のデータ保護能力に対する信頼を失い、ロイヤルティの低下につながる可能性があるからです。さらに、メディアの報道による否定的な評判は、ブランドイメージを損ない、潜在的な顧客を遠ざける可能性があります。低下した評判を回復するには時間とリソースが必要なため、情報漏えいの結果としては高くつきます。

賠償請求

被害を受けた個人が補償を求める場合、組織は多額の弁護士費用と支払いにつながる法的コストのリスクに直面します。また、賠償請求に応じることは、特に通常業務を妨げるため、コストと時間のかかる取り組みとなります。

事業の中断

情報漏えいは業務の中断につながり、ダウンタイムや生産性の低下につながります。このようなインシデントはサービスの遅れにつながり、組織の評判、ひいては収益に影響を与える可能性がある。情報漏えいが長期間にわたって混乱を引き起こした場合、組織の収益や売上高に影響を与える可能性があります。

情報漏えいを防ぐために何をすべきでしょうか?

データ侵害の防止は、組織が個人データを保護するために強固なセキュリティ対策を実施することを義務付けている第32条に概説されているように、英国およびEUのGDPR要件を遵守するために不可欠です。効果的な予防策は、セキュリティリスクの低減、個人データの保護、信頼の維持、規制遵守の維持に役立ちます。 ここでは、情報漏えいの発生に備え、その可能性を低減するために、企業がどのような活動を行うことができるかを検討します。

リスク評価

データ・セキュリティに対する潜在的な脅威を特定し、軽減するためには、定期的なリスク評価が不可欠です。この評価には、データ処理に関連するリスクを評価し、脆弱性を特定し、それらにプロアクティブに対処するための戦略を策定することが含まれます。リスク領域を定期的に調査することで、組織は新たな脅威に適応し、侵害を防止するためのセキュリティ対策が引き続き有効であることを確認することができる。

データの暗号化と仮名化

データは、ネットワークを通過する際も、保存される際も安全でなければならない。暗号化は、データを保護するための重要な要素である。このセーフガードは、侵入者が個人データにアクセスできないようにする。2つ目の保護策は仮名化で、これは識別情報を見えなくするもので、権限のないユーザーがデータを特定の個人に結びつけることを非常に困難にする。

アクセス・コントロール

データへのアクセスを権限のある担当者に限定することは、センシティブな情報への暴露を最小限に抑えるための鍵となる。役割ベースのアクセスは、ユーザーが業務に必要なものだけにアクセスできるように機密データを保存できることを意味します。このようにアクセスを制限するもう一つの利点は、他の従業員への偶発的な漏えいによって、機密を保持すべきデータが組織内で暴露される可能性を減らすことである。

システムの回復力

データ・セキュリティでは、回復力も重要な役割を果たします。予期せぬ混乱が発生し、システムが立ち直る必要がある状況が発生する可能性がある。よく設計されたシステムであれば、システム障害やデータ破損などのインシデントが発生しても回復することができる。システムが定期的にバックアップされていることを確認することも、優れたデータ・セキュリティを維持するための重要な要素です。つまり、何か問題が発生した場合でも、バックアップからデータを取り出すことができるため、業務プロセスを可能な限りシームレスに保つことができる。これはまた、情報漏洩が発生した場合にも役立ち、インシデントを修正し、それ以上進展しないようにすることができる。

テストとモニタリング

徹底的な脆弱性スキャンや侵入テストなど、規制当局によるテストは定期的に実施し、組織がパッチが必要な箇所を見つけ、問題が発生する前に実施できるようにする。また、システムの監視も日常的に実施し、あってはならないことが起きている場合、それが侵害になる前に対処できるようにすべきである。

設計とデフォルトによるデータ保護

データ保護をビジネス・プロセスの始まりの一部とすることは、データ・セキュリティが後付けではなく、最初の枠組みの一部となることを意味する。必要最小限の個人データのみをデフォルトで処理することで、権限のない第三者への不必要な個人データの露出を減らし、GDPRの原則を満たすことができます。これは当初からのコンプライアンスを促すだけでなく、セキュリティの向上にもつながる。

インシデント対応計画

優れたインシデント対応計画は、インシデントが発生した場合に、それを食い止めるために必要な手順を概説することで、迅速かつ効率的な対応を可能にします。その結果、被害が減少し、信頼が維持され、組織はより迅速に回復することができます。

サプライチェーンの管理

サードパーティのプロセッサーに個人データの処理を代行させる場合、管理者はそのようなプロセッサーがGDPRに準拠していることを確認する必要があります。EU GDPRおよびUK GDPRの下では、処理業者はいくつかの重要な義務、特に違反通知と管理者と処理業者間のコミュニケーションに関する義務を履行しなければなりません。このような義務は、管理者が指定した処理者との契約文書に反映されなければなりません。これらの契約書には、管理者への迅速な通知、必要な事前調査または事前評価の手順など、データ漏えいが発生した場合に処理者が従わなければならない手順を概説する必要があります。

データ侵害への対応

企業は、被害を最小限に抑え、GDPRに準拠するために、データ侵害が発見された後、直ちに行動を起こす必要があります。第33条で義務付けられているように、72時間以内に当局に報告し、第34条で義務付けられているように、必要に応じて影響を受ける人々に通知することで、行動を起こすことでデータや個人情報の盗難を防ぐことができます。また、迅速な対応を行うことは、企業の信頼性と顧客の信用を強化し、データ・セキュリティへの献身を示すことになる。これにより、企業は個人の権利を保護し、通常の業務を迅速に再開することができる。 情報漏えいに効果的に対応する方法の詳細については、「情報漏えいが起きたら何をすべきか」の記事を参照してください。

通知

データ漏えいが発生した場合、組織は適切な人々に通知し、EU GDPRおよび英国GDPRの要件に準拠できるようにする必要があります。 組織、特に規制部門の組織は、例えば銀行やヘルスケア部門など、遵守する必要がある追加の通知要件があるかどうかも検討する必要があります。

フォローアップ手順

  • 自社が処理する個人データとそれに関連するリスク、特に機微な個人情報と財務データを理解する。
  • 自社が保有するデータを必要かつ関連性のあるものだけに絞り込み、情報漏えいの際に漏洩する可能性のあるデータ量を削減する。
  • セキュリティ対策を見直し、スタッフ・トレーニングの重要性を軽視しない。
  • 情報漏洩が発生した場合に迅速に対応できるよう、適切なチームを編成する。
  • 処理するデータと事業展開する国に適用される通知要件を理解する。
  • EUまたは英国に拠点を持たない組織の場合は、情報漏えいが発生した場合に支援するEU/英国代理人を任命していることを確認する。

データ侵害を理解し、それに備えることは、個人と組織の両方を保護するために不可欠です。GDPRは、侵害を防止、検出、迅速に対応し、被害を最小限に抑え、信頼を醸成するための強固な枠組みを提供しています。予防措置を実施し、第三者のコンプライアンスを確保し、体系化された対応計画を立てることで、組織はリスクを軽減し、個人データを効果的に保護することができます。