ブログの検索

企業に対する明確な警鐘:データプライバシーのコンプライアンスは賭けではない

先月、大手企業2社がデータ流出に対し、過去最高の罰金を科されました(British Airwaysは1億8300万ポンド、そのわずか2週間後にFacebookが50億ドル)。情報保護当局は世界中の組織に明確な警告を送りました。顧客のデータを慎重に取り扱わなければ、間違いが発生した場合に厳しい処罰の対象となります。FacebookとBritish Airwaysがこのような結末を迎えた経緯は? そして、他社が得られる教訓とは?

British Airways — GDPR時代最初の巨額の罰金

 7月8日、英国の情報コミッショナー事務局(ICO)は高度なサイバー攻撃が引き起こした2018年のデータ流出に対し、British Airwaysに1億8300万ポンドの罰金を科すと発表しました。British Airwaysのウェブサイトのユーザーが詐欺サイトにリダイレクトされ、そこで氏名、住所、ウェブサイトのログイン情報、支払カード、旅行予約の詳細などの個人情報が収集されたのです。データ流出は約50万人の顧客に影響を与えました。

British Airwaysに科された制裁金は、2018年6月に一般データ保護規則(GDPR)が発効されて以来、最初に公になった罰則です。GDPRは、EU域内の顧客やその他の人の個人情報を保持している会社に、データセキュリティの侵害を国のデータ保護機関に報告することを義務づけています。英国のデータプライバシー監督機関によって科された1億8300万ポンドの制裁金は、2018年、Cambridge Analyticaに関連する違反に対してFacebookに科された50万ポンドの367倍の制裁金となりました。しかし、この2件は、その2週間後に発表されたFacebookの制裁金に比べると、ごくわずかです。

 Facebook制裁金の支払いに同意

 過去2年間にわたり、Facebookは大量の個人情報のずさんな管理体制と、ユーザーとの通信の取り扱いミスにより、複数の情報保護当局から調査を受けていました。2018年には、FacebookとCambridge Analyticaのデータスキャンダルが勃発しました。報道によると、当時の英国コンサルティング会社(名前は未公表)が数百万人の個人のFacebookのプロフィールから、本人の同意なく個人情報を入手し、標的型の政治広告を送信したということです。

 2018年10月、Facebookはハッカーがソフトウェアの複数の欠陥を悪用して膨大な数のアカウントに不正侵入し、最終的にはユーザーになりすましてプロフィールを乗っ取ったことを明らかにしました。翌月、Facebookは同社が委託した独立系人権団体のレビューを引用して、ミャンマーで「社会的分断を誘発して暴力を扇動」するために、同社のプラットフォームが乱用されたことを認めました。

 米国の連邦取引委員会は7月24日、8歳児のプライバシー契約に違反したとして、Facebookに50億ドルの罰金を科しました。これは消費者プライバシーの侵害に対して科された罰金の中で、間違いなく過去最大の額です。それは2018年に英国のICOから科された50万ポンドの制裁金の8,200倍以上、2週間前にICOが発表したBritish Airwaysの罰金の22倍になります。

これらが意味することは?

第一に、組織はデータプライバシーの要件をこれまで以上に真剣に捉える必要があります。この本気度はトップダウンに流れ、経営幹部は会社のデータプライバシーのアプローチに対して説明責任を負うだけではなく、先頭に立って指導する必要があります。データ保護当局に従うことは、経営幹部が率いる組織内の様々な部署にまたがる幅広いビジネスイニシアチブでなければなりません。セキュリティとデータ保護の責任者だけでは取り組むことができません。要件を解釈してリスク軽減措置に優先順位を付けるには、複数分野のチームが関与する必要があります。

このアプローチが必要になる証明として、Facebookに関する決議を発表した米連邦取引委員会(FTC)のプレスリリースをご覧ください。「和解案決議は本日、Facebookの運営に前例のない制限を新たに設け、複数のコンプライアンスチャネルを作成している。この決議は、プライバシーに対するアプローチを会社の取締役レベルから下へと再編して、強力な新体制を確立することをFacebookに義務づけ、プライバシーに関する決定にはFacebookの経営陣が説明責任を負い、その決定は当局の監査下に置くとしている。」

第二に、組織はこれまでより高水準のデータプライバシー要件を満たさなければなりません。以前は、コンプライアンスと言えば、チェックボックスを埋めていくだけと考える傾向がありました。中小企業の多くは、規模が小さいのでデータ保護当局に目を付けられることはないと考え、データプライバシーの要件に注意を払っていませんでした。

 しかし、時代は変わりました。GDPRのような新しいデータ保護規則の導入だけではなく、データ保護当局がデータセキュリティの要件を徹底的に施行しています。FTC などの政府機関は、企業のプライバシープログラムを評価してセキュリティギャップを特定するために、監査プロセスを強化したとまで主張しています。

 最後に、特権ユーザーによるデータアクセス権の乱用も引き続き問題になっています。FacebookとCambridge Analyticaのスキャンダルでは、Cambridge Analyticaの前CEOとアプリケーション開発者がFacebookのユーザーデータを本人の同意なく政治広告の目的で不正に使用しました。これは、以前なら法的グレーゾーンであったかもしれませんが、現在では極めて明白です。組織はGDPRに従って、個人情報が「知る必要」以上に拡散することを制限しなければならず、正当な特定の目的でのみデータを収集できます。

 しかし、特権ユーザーによる機密情報や個人識別情報の乱用を防ぐのは困難です。何しろ、彼らは正当なデータアクセス権を持っています。したがって、どの業務上不可欠なデータがアクセスされ、それが誰にどのように使用されているかを監視する機能が重要になります。疑わしいデータ活動を検知して、高リスクのインシデントを優先することがデータ漏洩を防ぐ鍵です。

 Impervaのお客様は、Imperva Data Security内の高度なデータリスク分析機能を活用して、大量のデータ記録の情報検索や、アプリケーションのみがアクセスすべきサービスアカウントを使用したデータベースアクセスなどの不正行為を発見して是正しています。また、当社のお客様はデータマスキングを適用して、「知る必要」がある人のみにデータアクセスを制限して、アタックサーフェスを減らしています。

 特定のコンプライアンス要件とデータプライバシー法の遵守を怠った企業に科された過去最大の罰金や最近のニュースから、企業が細心の注意を払って顧客データを取り扱わなければならないことは明白です。データプライバシーとデータ保護の要件を満たしているかどうかの賭けに出るというオプションはありません。

 データの保護を怠ったことで罰金を科される可能性を減らす方法については、無料の電子ブック、『Steps for Securing Data to Comply with the GDPR』を参照してください。電子ブックは英語版のみです。

 金融サービス業界の企業がデータ保護を怠った場合は、リスクと制裁金がさらに高くなります。Impervaの電子ブック、 『Cybersecurity and Compliance Guide for Financial Services』 (INSERT EBOOK JA LINK) は、CISOをはじめとするテクニカル/ビジネスの大手企業向け入門書です。