「制裁対象」は意外なところに 知っておくべきGDPRの「5つのポイント」:巨額の制裁や詐欺のリスクも(4/4 ページ)
2018年5月25日、組織による個人情報保護を厳格に定めた「GDPR(EU一般データ保護規則)」がついに施行された。「自分たちは関係ない」と思っている企業も、対象になっているケースがあるので要注意だ。
「72時間以内の報告義務」が今守れないなら、どうすればいいのか
GDPRの話題が浸透するにつれ、Web検索などをきっかけに、染谷氏の所属するトレンドマイクロに対する相談も増えているという。GDPRに対応するには、プライバシーポリシーの整備をはじめ、個人情報を保管する場所や部署などの整理、可視化などが主な課題となっている。加えて、セキュリティ面では、「情報漏えいなどのインシデント発生後、監督機関および個人情報を預けた全ての利用者に72時間以内に報告する」義務をどう果たすか、という壁も立ちはだかる。
企業がサイバー攻撃を受けてから気が付くまでに数カ月かかるケースもある現状を見ても、72時間以内の通知はとても難しいことが分かる。ただし、少なくとも「関係者への円滑な報告や通知を可能にする」というゴールを定めて、組織作りやセキュリティ対策を整備することは、いまからでも可能だろう。
いったんセキュリティインシデントが発生すれば、企業は説明責任を問われることになる。「企業は、たとえGDPR施行のタイミングでできることは限定的であっても、個人情報管理のロードマップを提示し、どのタイミングでどう動くかを説明できるようにしておくことが重要だ。2018年5月の時点で何もかも対応できている企業は少ない。だから慌てる必要はないが、考え始めることが重要。GDPRはそのきっかけにすべきだ」と染谷氏は話す。
GDPR最大のリスク――「ビジネスメール詐欺」と組み合わされてしまうと?
そして、企業がこれからGDPR関連で最も気を付けなくてはならないことは、むしろ「詐欺」かもしれない。染谷氏が懸念するのは、GDPRの知名度の低さが詐欺のネタとして利用される可能性があることだ。例えば、GDPRをよく知らない企業がいきなり巨額の「罰金」を請求され、支払ってしまうようなケースがそれに当たる。
例えば、これまでのフィッシング詐欺においても、警察や政府機関のロゴや名前を使ってアダルト画像を脅しのネタにして警告し、「逮捕されたくなければ特定の口座に金銭を振り込め」と被害者に迫るケースが多発していた。個人に対してではなく、「企業」に向け、「あなたの企業はGDPRに違反している」とだますメールが来たとしたら、こうした詐欺の成功率が上がってしまうかもしれない。
「例えば中小企業に対して『あなたはGDPRに違反しています。対応を請け負います』とだます詐欺や、違反に便乗したランサムウェアが出てくるかもしれない。また、企業ではなくユーザーに対して、GDPRに関連した個人情報提供のオプトインを求めるメールを装ったフィッシングを仕掛けるパターンもあり得る。法律に関係する脅威はこれまでもたくさん登場しているため、警戒が必要だ」(染谷氏)
GDPRの施行を受け、一般紙でもこの法制度を取り上げる頻度が増えている。もし現在、あなたが「GDPRという名前、制裁金額、対応の遅れというキーワードは知っているけれど、実態が何かよく分からない」という状況にあれば、詐欺師にとって最もだましやすい状況を作っているといえる。そうした犯罪に引っ掛からないためにも、あらゆる人がGDPRを企業だけの問題と考えず、「自分自身の問題」として捉えるべきかもしれない。
関連記事
- 制裁金がある「GDPR」について「十分理解している」企業は10.0%――トレンドマイクロ調査
トレンドマイクロは「EU一般データ保護規則(GDPR)対応に関する実態調査」の結果を発表した。「内容について十分理解している」割合は10.0%なのに対して、「名前だけは知っている」または「知らない」は66.5%。欧州国民の個人情報を取り扱っているにもかかわらず対応に着手していない割合は70.3%に上った。 - IT管理者の55%、「EUデータ保護規則に不安」――ブランコ調べ
2018年5月に施行される見込みの「EU一般データ保護規則」に関して理解や対応に不安を感じるという意見が目立つという。 - 3.3億人のパスワードを危機にさらした? それでもTwitterを褒めたい理由
この手の事件で「パスワードを平文で保存する」というのは致命的で、もっと大きく取り上げるべき内容のはず。しかし、今回の事件でそこまで強い表現にはなっていない理由は?
Copyright © ITmedia, Inc. All Rights Reserved.