「制裁対象」は意外なところに 知っておくべきGDPRの「5つのポイント」：巨額の制裁や詐欺のリスクも（4/4 ページ）

[宮田健，ITmedia]

「72時間以内の報告義務」が今守れないなら、どうすればいいのか

　GDPRの話題が浸透するにつれ、Web検索などをきっかけに、染谷氏の所属するトレンドマイクロに対する相談も増えているという。GDPRに対応するには、プライバシーポリシーの整備をはじめ、個人情報を保管する場所や部署などの整理、可視化などが主な課題となっている。加えて、セキュリティ面では、「情報漏えいなどのインシデント発生後、監督機関および個人情報を預けた全ての利用者に72時間以内に報告する」義務をどう果たすか、という壁も立ちはだかる。

　企業がサイバー攻撃を受けてから気が付くまでに数カ月かかるケースもある現状を見ても、72時間以内の通知はとても難しいことが分かる。ただし、少なくとも「関係者への円滑な報告や通知を可能にする」というゴールを定めて、組織作りやセキュリティ対策を整備することは、いまからでも可能だろう。

　いったんセキュリティインシデントが発生すれば、企業は説明責任を問われることになる。「企業は、たとえGDPR施行のタイミングでできることは限定的であっても、個人情報管理のロードマップを提示し、どのタイミングでどう動くかを説明できるようにしておくことが重要だ。2018年5月の時点で何もかも対応できている企業は少ない。だから慌てる必要はないが、考え始めることが重要。GDPRはそのきっかけにすべきだ」と染谷氏は話す。

GDPR最大のリスク――「ビジネスメール詐欺」と組み合わされてしまうと？

　そして、企業がこれからGDPR関連で最も気を付けなくてはならないことは、むしろ「詐欺」かもしれない。染谷氏が懸念するのは、GDPRの知名度の低さが詐欺のネタとして利用される可能性があることだ。例えば、GDPRをよく知らない企業がいきなり巨額の「罰金」を請求され、支払ってしまうようなケースがそれに当たる。

　例えば、これまでのフィッシング詐欺においても、警察や政府機関のロゴや名前を使ってアダルト画像を脅しのネタにして警告し、「逮捕されたくなければ特定の口座に金銭を振り込め」と被害者に迫るケースが多発していた。個人に対してではなく、「企業」に向け、「あなたの企業はGDPRに違反している」とだますメールが来たとしたら、こうした詐欺の成功率が上がってしまうかもしれない。

　「例えば中小企業に対して『あなたはGDPRに違反しています。対応を請け負います』とだます詐欺や、違反に便乗したランサムウェアが出てくるかもしれない。また、企業ではなくユーザーに対して、GDPRに関連した個人情報提供のオプトインを求めるメールを装ったフィッシングを仕掛けるパターンもあり得る。法律に関係する脅威はこれまでもたくさん登場しているため、警戒が必要だ」（染谷氏）

• GDPR 施行直後の対応に伴うリスクや、便乗したサイバー犯罪の可能性とは？　（トレンドマイクロ セキュリティブログ）

　GDPRの施行を受け、一般紙でもこの法制度を取り上げる頻度が増えている。もし現在、あなたが「GDPRという名前、制裁金額、対応の遅れというキーワードは知っているけれど、実態が何かよく分からない」という状況にあれば、詐欺師にとって最もだましやすい状況を作っているといえる。そうした犯罪に引っ掛からないためにも、あらゆる人がGDPRを企業だけの問題と考えず、「自分自身の問題」として捉えるべきかもしれない。