2017年5月、米国の消費者信用情報会社Equifaxのデータ漏洩により、アメリカ人の56%、1,500万人のイギリス人、2万人のカナダ人の重要な信用・個人情報が流出しました。Ponemon Instituteは、この件で生じるEquifaxの総コストは、直接経費と罰金で6億ドルに達すると見積もっています。なおこの金額には、ITシステムを最新の状態にするために必要なセキュリティ対策のアップグレード費用は含まれません。
2017年にEquifaxがデータの流失に気づいた頃、Facebookは脆弱性が内在するソフトウェアを同社の動画アップローダーに組み込んでいました。その14か月後にFacebookが侵害の事実に気づいた時には、その脆弱性を悪用した攻撃者により、5,000万人分のユーザーアカウントが流出していました。
Facebookから流出したデータ量は、Equifaxの流出データの3分の1以下でした。しかしながら、それにより生じたコストは、Equifaxが支払った金額のほぼ3倍とされています。「Facebookは欧州の監視当局により16億3,000万ドルの罰金を科せられる可能性がある」と投資金融情報専門紙Barronsが報じています。
この違いはなぜ生じるのでしょうか?
GDPRは、コンプライアンスに違反した企業にグローバルな年間収益の最大4%までの罰金を科すことを規制当局に許可しています。(Facebookの場合、2017年のその金額は400億ドルでした。)しかし、この話の中心はGDPRではありません。GDPRは、貿易協定を推進する組織が世界的に広めようとしている一連のプライバシー規制のうちの最初の1つに過ぎません。このような協定は、データ保護への関与をさらに強めています。
たとえば、欧州のGDPRの概念は、規制への取り組みと結びつき、欧州との国境をはるかに超えた国々における規制への考え方にも影響を与えています。欧州との貿易協定では、貿易相手国がGDPRと同等のプライバシー保護レベルを提供することを要求しています。したがって、韓国と日本が欧州との正式な協定に署名したとき、両国はGDPRとの同等性を受け入れたことになります。
しかし、これらの国々は単にEUにごまをすっているわけではありません。真の追従者となったのです。例えば、日本とシンガポールの個人情報保護法では、金銭的な処罰に加え企業幹部への懲役も追加されました。韓国とオーストラリアは莫大な制裁金を科しています。
また、最近の環太平洋パートナーシップ協定では、各加盟国が「電子商取引の利用者の個人情報の保護を規定する法的枠組みを採用または維持する」こと、および「異なる制度間の互換性を促進すること」が求められています。
|
国名 |
罰金 |
懲役刑その他 |
|
EU(GDPR) |
グローバルな収益の4% |
なし |
|
シンガポール |
$370,000 |
懲役12か月 |
|
$1,200,000 |
なし |
|
|
グローバルな収益の1% |
なし |
|
|
$2,800 |
懲役6か月 |
世界の195か国のうち150か国以上が個人情報の保護を憲法に組み込んでいることを知れば、各国が懲罰的な方向に傾いていることは驚くことではないでしょう。全般的な個人情報の保護とデータ侵害の扱いが比較的緩やかである米国がむしろ特異的です。GDPRが関係する領域は、密接に関係し合い、厳しさを増す規制環境に対する準備を整える時期にきていると思います。
このようなイベントを御社のセキュリティ対策に結び付けましょう。国際的な規制機関は、侵害を受けた企業を罰することには関心がありません。しかし、顧客データの保護を怠っている企業を罰することは熱心です。また、規制を顧みない企業が大々的に報じられるようにしようという意向もあります。
あなたの会社が、予算の都合で「チェックボックス型」のセキュリティを使い続けているならば、セキュリティのメカニズムを理解はしているものの、それをしっかりと実行するほど優先的に考えてはいないことを規制当局に知らせているようなものです。規制当局が調査にやってきたとき、そのような姿勢では弁解の余地はないかもしれません。幸い、規制環境の変化により、セキュリティ予算を見直す機会がもたらされる可能性があります。
上級幹部との次回の予算会議では、御社が現在保有している外国人の個人情報の量を推定することから議論を始めましょう。2枚目のスライドでは、各国の罰則についての詳細を説明します。興味を引くために、シンガポールの刑事収容施設の写真を挿入しておきましょう。また、あなたの部署が導入・展開したものと、あなたが仕事を適切に行うために必要なものとを比較説明してください。
Tripwireなら、そのお手伝いができます。当社は、CISのクリティカルセキュリティコントロール(CSC)を採用して、デジタル上の脅威から顧客を保護します。その詳細についてはこちらからご確認ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
