【ニュースリリース】EU-GDPRの罰金がプライバシー管理について教えてくれること

2020年8月21日

EU一般データ保護規則(GDPR)は、2018年5月25日から適用され、最高2,000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい方で制裁金が科せられることになりました。 EUデータ保護当局は、施行日以降、350を超える制裁案件があり、制裁金の合計額は4億6,800万ユーロ(約5億2,300万米ドル)超であると発表しました。

EU-GDPRは、世界で最も包括的なプライバシー法の1つとして広く見なされており、カリフォルニア州消費者保護法2.0、ブラジルの個人情報保護一般法、ドバイ国際金融センターのデータ保護法とカナダの個人情報保護および電子文書法のように他のプライバシー法の基準となっています。

2020年2月に行われた国連貿易開発会議によると、世界の75%以上の国がプライバシー法を制定している、または起草しているとしています。 さらに、米国の50州のうち49州には少なくとも1つのプライバシー関連法(合計157の州法)があり、米国連邦政府は9つのプライバシー法を制定していますが、連邦法はまだEU-GDPRほど包括的ではありません。

複数のプライバシー遵守義務の対象となっている多くの組織は、対象となる最も包括的で厄介な法律に準拠したプライバシープログラムを設計、運用するためのベストプラクティスを活用しています。ベストプラクティスにより、組織は通常、法的管轄ごとに個別のプライバシープログラムを運用することなく、すべてのプライバシー義務の順守を実証できます。

EU-GDPRは多くのプライバシー法が要求する基準と見なされているため、規制違反に対する制裁を科せられた状況を理解することは興味深く、有益です。 次の表は、施行日以降に開示および記録されたすべての制裁事例から、高額な制裁金となった理由のトップ5を示しています。

EU-GDPR Fines - Source: GDPR Enforcement Tracker (through 5/31/2020)

Source: GDPR Enforcement Tracker (2020年5月31日まで)

105件と最も多い理由は、組織がデータ処理で十分な法的根拠を持っていなかったことでした。 2番目に多い(65件)は、情報セキュリティを確保するための技術的および組織的対策が不十分という理由でした。これらには平均約530万ユーロ(590万ドル)の制裁金が課せられました。

すべてのプライバシー要件に対して情報セキュリティを確保するための十分な技術的、組織全体にわたる対策を確立することは、組織にとって最も困難で時間のかかる作業です。 この義務に違反した場合の制裁金を回避しようとする組織は、プライバシーを確保するための内部統制フレームワークの設計と有効性の妥当性を継続的かつ積極的に実証する必要があります。

このようなプログラムの特徴は、次のとおりです。

  • 包括的範囲:プログラムは、組織がビジネスを行うすべての地域、すべての製品とサービス、すべての電子的または物理的なビジネスプロセスを対象とします。既存の業務だけでなく、例えば新たに事業展開する地域や事業活動や合併や買収も対象に加えることが含まれます。
  • きめ細かなデータガバナンス:誰が、何を、どこで、どのように、なぜ情報を収集、処理、保存、共有しているのかを知ることが不可欠です。 このコンテキストと関連する情報の量を理解していないと、情報セキュリティを確保するための技術的および組織的対策の十分性を示すことができません。 きめ細かなデータガバナンスとは、ある時点における組織のデータを理解することだけでなく、収集、使用、保存、共有といった継続的な変化を理解することです。
  • リスク管理ライフサイクルに基づく。 リスク管理ライフサイクルは、次のことを行うための規律を実施します。
    • リスクの特定:プライバシーリスクの特定は、詳細なデータガバナンスと密接に連携しています。 個人情報が収集、処理、保存され、サードパーティと共有されているあらゆる場所を理解する必要があります。加えて、収集されている個人情報の種類、個人のプライバシーにとって情報の重要度や自分の情報が何に使われるかなどもです。 何らかの理由で個人情報の複数のソースが収集されて結合されている場合、リスクを特定することは、これらのデータの組み合わせを特定することも意味します。
    • リスクの評価–プライバシーリスクの評価とは、情報へのアクセス、変更、破壊、またはエラーや不正なアクションの結果として利用できなくなった場合に、組織と個人へ、何かが発生する可能性や影響を判断する一貫したアプローチを適用することを意味します。 プライバシーリスク評価は、情報漏えいにより被る組織のコスト、罰金、制裁措置、是正コスト、訴訟コスト、評判の低下を単純に考慮しただけのものではありません。 組織は、影響を受ける可能性のある個人とその影響を理解する必要があります。プライバシーリスク評価では、個人のプライバシーに焦点を当てる必要があります。これは、EU-GDPRなどの法律やNISTプライバシーフレームワークなどのプライバシー基準で要求されるためですが、組織に対するリスクの評価量は、多くの場合、個人へのリスクの代わりではありません。
    • リスクの評価:リスクの評価には、組織がプライバシーリスクの可能性と影響を組織のリスク選好度と比較し、個人に対するプライバシーリスクに関して許容度と比較する必要があります。 リスクが評価された場合にのみ、組織は限られたリソースを効果的に優先順位付けして、許容レベルを超えたリスクを処理できます。
    • リスクの処理:プライバシーリスクの処理とは、プライバシーリスクを引き起こす脅威の発生源の可能性と影響を回避、転送、および/または軽減するための適切な技術的、組織的対策を講じることを意味します。 この領域の弱点は、情報セキュリティに対する不十分な技術的および組織的対策に関連して、先述の表に示されているより大きな罰金の原因です。 情報セキュリティを管理する技術的対策の例には、次のものがあります:通信プロトコル、ファイアウォール、暗号化、多要素認証、脆弱性スキン、 データ漏洩防止、侵入検知、マルウェア、ファイルの整合性の監視、メールマルウェアスキャナー。
      情報セキュリティを管理するための組織的対策の例には、次のものがあります。情報セキュリティポリシーと実施手順、従業員の雇用と審査、従業員のプライバシートレーニング、物理データの取り扱いと破棄の訓練、パッチ管理、入力、処理、出力のすべてのデータが承認され、正確で、タイムリーで完全であることを保証するための内部統制、災害復旧および回復力計画; SDLC(ソフトウェア開発ライフサイクル)のセキュリティレビュー、 サードパーティのリスク管理、インシデント管理。
      リスク処理の目的は、プライバシー関連のすべてのリスクシナリオを許容レベル内にすることです。
    • リスクの監視:すべてのプライバシーリスクが特定、評価、評価、処理されたら、組織のプライバシーリスクプロファイルを監視する必要があります。 プライバシーリスクプロファイルは静的ではありません。 リスクは、取引量、ビジネス活動(新規および変更された製品とサービス、ビジネスプロセス、サードパーティ、ITインフラストラクチャおよびデータ使用など)、内部統制の有効性の変化、外部の主体の動機と行動に応じて変化します。 組織は、プライバシーリスク管理ライフサイクル内のすべての変更を把握し、早期警告、継続的な監視、インジケータを確立して、技術的、組織的なリスク処理の内訳を検出することが最適です。
  • プログラムガバナンス:経営陣は、組織のプライバシーリスク管理ライフサイクルおよび関連する内部統制フレームワークを所有します。ラインマネージャーとリスクマネージャー(1番目と2番目の防御ライン)は、プライバシープログラムの設計と運用の妥当性に関してテストを実行し、定期的に正式なアサーションを行う必要があります。 さらに、独立監査(第3の防衛ライン)は、プライバシープログラムの設計と運用の妥当性について意見を表明する必要があります。 アサーションおよび独立監査から提起された例外および問題は、適切な上級管理職に提起され、リスクの量に応じてタイムリーに解決されるべきです。 このガバナンスプロセスでは、プライバシープログラム全体が更新される頻度を通知する必要があります。
  • プライバシープログラムの保証:結局のところ、組織は、組織のプライバシープログラムが適切に設計され、運用されていることを関係者(データ保護当局や規制当局など)に確実に保証できる場合にのみ、プライバシー関連の罰金の発生を回避できます。 これには組織が適切な範囲、データガバナンス、リスク管理ライフサイクル、プログラムガバナンスを確立したという具体的な文書を提供する必要があります。

RSAは、組織のプライバシープログラム管理や推進を支援しています。 RSA Archer Suite for Integrated Risk Managementを使用することにより、組織はプライバシープログラムの範囲を確立し、きめ細かいデータガバナンスプロセスを確立し、一貫したプライバシーリスク管理ライフサイクルを適用し(サードパーティとビジネスの回復力を含む)、強力なプログラムのガバナンス、組織のプライバシープログラムの設計と有効性を保証するためのガバナンスと具体的な文書の作成が可能になります。 さらにRSAは、RSA SecurID Accessを使用した多要素認証、RSA Identity Governance&Lifecycleを使用したIDガバナンス、RSA NetWitness Platformからのネットワーク異常の検出と管理、RSA Fraud&Risk Intelligenceによるオムニチャネルの不正管理など、今日のプライバシープログラムに必要な技術的および組織的対策の多くを実現できます。

これはRSA Blog What EU-GDPR Fines Tell Us about Privacy Management の翻訳です。

 

# # #

 

【本件に関するお問い合せ先】

デル・テクノロジーズ株式会社 RSA事業本部 マーケティング部
PRマネージャー 嶋宮 知子 Tel : (090)7708-7522、eMail : tomoko.shimamiya@rsa.com

 

© Copyright 2020 Dell Technologies.、その関連会社。All Rights Reserved.
Dell, Dell EMC, Pivotal, RSA, Secureworks, Virtustream, VMware及びDell Technologiesが提供する製品及びサービスにかかる商標は、米国Dell Technologies又はその関連会社の商標又は登録商標です。その他の製品の登録商標および商標は、それぞれの会社に帰属します。

Recommended for you