TOPNetwork > データやプライバシーの侵害通知、プラン策定のヒント(前)

Network

データやプライバシーの侵害通知、プラン策定のヒント(前)

2018/05/22

Michael Nadeau CSO

 侵害通知のマスタープランを今すぐに策定し、該当する法令の一つひとつに合った必須の通知手順を定めておけば、ストレスを抑えられる。そのようなプランをまとめるためのヒントを紹介していこう。

 自分の会社でデータ侵害が生じたことが判明し、世界各地にいる顧客の個人情報が流出したとする。これが2018年5月25日を過ぎてからの話なら、欧州連合(EU)の一般データ保護規則(GDPR)の定めにより、データ侵害について72時間以内に報告する義務がある。残された時間は少ない。EUの監督機関に向けた報告のプロセスや、顧客や世間一般に向けた情報開示のプロセスを理解しているだろうか。まだ理解していない企業も少なからずありそうだ。

 米Centre for Information Policy Leadershipと米AvePointが2018年3月に第2版を発表した調査レポート「Organisational Readiness for the European Union General Data Protection Regulation(GDPR)」によると、データ侵害の通知に関して、グローバル企業の準備の度合いはまちまちだ。内部報告の手順を定めている企業は70%、インシデントレスポンス計画を定めている企業は66%に上ったのに対し、侵害のシナリオの予行演習を実施したことがある企業は31%、PR会社と契約を結んだ企業は22%にとどまった。

 「サイバー危機に陥った時に、膨大なリーガルリサーチを行っている時間はない。ランサムウエア攻撃でシステムがロックされた場合は特にそうだ」。このように話すのは、英法律事務所Eversheds Sutherlandでサイバーセキュリティ/データプライバシープラクティスのグローバル共同リーダーを務めるMichael Bahar氏だ。米国や世界各地の法域で、オンラインの侵害に関する法令の制定や改正が増えている現在は、リーガルリサーチに伴う時間、複雑さ、ストレスは高まる一方である。そして、侵害が発生した時に極めて重要なのが時間だ。

 侵害通知のマスタープランを今すぐに策定し、該当する法令の一つひとつに合った必須の通知手順を定めておけば、ストレスを抑えられる。そのようなプランをまとめるためのヒントを紹介していこう。

↑ページ先頭へ