Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

GDPR関連記事のまとめ(2019年2月版)

1月末にGDPRの罰金額の定点記事を書きましたが・・・Googleの様に罰金額まで明示した記事が2月分としてはあまり見つかりませんでした。ほとんどが調査中の記事なのですが、今後、罰金事例となって出てくるものも含まれて居ますので、私が気になったGDPR関連の記事を挙げてみます。

 

■3/2(英語記事)

Should online users be bound by their privacy agreements?

今月の記事ですが、「プライバシーポリシー」に関して興味深い分析結果を公開してました。

GDPRのもう1つの興味深い側面は、プライバシー条件をエンドユーザーに明確に伝えるという要件です。この点で、GDPRは企業に彼らのプライバシー協定で「明確で平易な言葉」を使うことを要求している。
(中略)
私たちは200以上のプライバシーポリシーの読みやすさを測定しました。これらのポリシーは、イギリスとアイルランドで最も人気のある英語のWebサイトから集めました。サンプルには、FacebookAmazonGoogleYoutubeBBCなどの企業で使用されているポリシーが含まれています。
(中略)
欧州議会は、プライバシー契約に平易な言葉を使用することが、ユーザーのプライバシーに対するより総合的なアプローチの一部となり得ると考えました。これは検討する価値のあるアイデアです。

特効薬ではありませんが、読みやすさはユーザーのプライバシーにとって重要であることがわかります。しかし、GDPRの要求にもかかわらず、ヨーロッパ市民は依然としてほとんど読めないプライバシーポリシーに遭遇しています

分析では、少し読みやすくなった程度にしか変わってないと評価してました。現在GDPR違反調査が進んでいるGoogle,Amazon等では、ポリシー不備や個人承認が無いままの情報収集が問われていますので、ポリシーが読みやすく無い・・という問題は、潜在的(訴訟)リスクを残している事でもあるかと思います。併せて、GDPRの影響を受ける(かもしれない)日本企業にとっても考えるべきポイントの1つと言えそうです。

 

■2/28(日本語記事)

Brexit後のGDPR対応でAIが活躍 - WirelessWire News(ワイヤレスワイヤーニュース)

Brexitになると契約や規定の見直しが英国企業にとって大変になりそうですが、そこでAI・・色々考えるものです。

 

■2/28(英語記事)

Privacy complaints received by tech giants’ favorite EU watchdog up more than 2x since GDPR – TechCrunch

よく書かれたレポートです。英文ですが参考になる情報が多そうで、(下に取り上げた)アイルランドのデータなども書かれていますが、

報告期間中にGDPRに基づく苦情の割合が最大のカテゴリーはアクセス権(30%)でした - DPCは、彼らが正当なデータを得ていないと感じている人々に関連する完全な582件の苦情を受け取りました。

AppleFacebookMicrosoftTwitterDropboxAirbnb、LinkedIn、WhatsApp、MTCH Technology、Yelpなどの国境を越えたサービスを提供している会社が(まずは)調査中である事が分かります。

 

■2/28(日本語記事)

GDPR、アジアへの影響:ティーリアムGM | 深層 | Campaign Japan 日本

アジアのいくつかの企業ではまだ、経営幹部クラスであっても「GDPRは我々とは関係がない」「うちの会社は考える必要がない」と考えています。しかし、そうした態度が誤っていると気づかざるを得ない状況になりつつある。リーチする消費者の情報を正しく把握できていないため、GDPRをきちんと理解する必要に迫られているのです。こうした企業は顧客のことをよく理解し、自社の法務部と緊密に協働しなければならない。また自社だけで判断を下すのではなく、同業他社とどのような対策が取られてきたかを話し合うべきです。

 

日本企業も「関係ない」スタンスの所が多い気がしますが、同業他社や委託先管理など、最大罰金額を考えると情報収集・リスク分析を進めておかないと痛い目にあう、槍玉に挙がってしまう大企業が出てくるのではないでしょうか。

 

■2/28(英語記事)

Irish watchdog sees 70% surge in reports of data security breaches

アイルランドの規制当局は、2018年の年間データを報告した最初のEUデータ機関の1つです。

また、2017年の2,600件から2018年には4,100件まで、データの苦情が56%増加したと報告しています。

(欧州での)個人情報保護に関する意識向上の表れが、データ苦情+56%に表れていると思います。

 

■2/27(英語記事)

A European data privacy office has 15 open investigations. Ten are about Facebook.

アイルランドデータ保護委員会は、12月31日現在、国際的なハイテク企業の調査を15回継続していると報告しています。調査のうちの10件は、Facebookまたはその子会社、InstagramとWhatsAppに関するものでした

上の記事に関連する記事でした。見せしめという要素もあるのだと思いますが、巨大企業(GAFA)は特に狙い撃ちにされている気がします。元々GAFAはビックデータ収集が進んだ「勝ち組」と見なされてきていましたが、GDPRの世界では「負け組」になりかねない。そんな恐ろしさを感じます。

 

■2/25(英語記事)

German Authorities Issue 41 GDPR Fines: Report 02/25/2019

Mondaqの分析によると、Handelsblattによる調査によると、今年の1月中旬までに41の罰金がドイツのプライバシー保護当局によって発行されています。 

最高罰金は80,000ユーロでした。健康関連のデータを公に閲覧することを許可した事業体については、報告書は続きます。さらに、バーデンヴュルテンベルク州の州データ保護および情報の自由責任者により、チャットポータルKnuddels.deに2万ユーロの罰金が科されました。

前回記事で、チャットポータルKnuddelsを取り上げましたが、GAFA級ではなくても既に罰金判例が多数出ている様です。その一端はおそらくオーストリアに本拠を置くプライバシーグループのNo Of Your Business(Noyb)が担ったのではないかなと思いますが、巨額な罰金でなくても違反企業が出始めている事は注意が必要です。

 

■2/19(英語記事)

5 Ways for Companies to Limit GDPR Penalties

Google翻訳があまり綺麗な文章に直してくれないので、詳しくは英文記事を見てもらった方が良いかと思いますが、GDPR罰金を軽減するために取るべき施策を5つ挙げています。

①健全なGDPR構造の実装

(キタきつねコメント)総合的なコンプライアンスプログラム(堅牢なデータ保護管理システム)を構築すべきとの内容です。業務、法務、監査、関連部署の責任分解・・・等々の記載内容を考えると、ルール化だけでは難しく、統合管理ツールを導入するイメージで書かれている感じです。

 

②ギャップと脆弱性の特定

(キタきつねコメント)いわゆるGAP分析ですね。すべてのセキュリティの基本はGAP分析にあるといっても過言ではありませんが、罰金額から考えると、真面目に資産棚卸し&リスク検討できるかが、非常に重要になりそうです。自社分析だといい加減にしかならない懸念があるのならば、コンサルを使うのも手だと思います。

 

③訴訟志向のGDPRドキュメンテーション管理

(キタきつねコメント)GDPRで求めら得ているドキュメンテーション義務を正しく理解し、説明責任を果たせるフォーマット(あるいは手順)を準備、運用する事のようです。

 

④重要でない損害賠償についての主張の可能性に対する検討(データ保護当局および報道機関とのコミュニケーション) 

(キタきつねコメント)GDPRの82条(民事責任)を指しているようです。精神的苦痛等が罰金判断で認められてしまう可能性があるので、判例をよく気をつけてウォッチし、(後々の)損害賠償請求を避けるために、データ保護当局等と良い関係を気づく事を言っている様でした。

 

⑤申し立て/訴訟調査に対する影響度評価

(キタきつねコメント)GDPR違反で「調査開始」と発表がなされるだけで、企業評判(株価)に影響を与える可能性があり、パブリックコミュニケーション(一般公開情報)についてデータ保護当局と協調関係を気づくようにするべきだ、といった内容でした。

 

 

■2/19(英語記事)

59K Data Breaches Reported, 91 Fines Imposed Since GDPR Enactment

EUGDPRが2018年5月25日に可決されて以来、59,000を超えるデータ侵害通知が、公的機関と私有企業の両方からヨーロッパ各地のデータ保護当局(DPA)に報告されています。

GDPR は、5月25日に欧州連合で施行されたユーザーおよびデータのプライバシー規制であり、EU居住者のデータ保護、ならびにEUおよびEEA地域外への個人データの輸出に対応しています。

DLA Piperのグローバル法律事務所が発表した報告書に詳述されているように、オランダ、ドイツ、イギリスがそれぞれ約15,400、12,600、および10,600の報告違反でランキングをリードしています。

(中略)

グーグルで最近平手打ちされたのと同じレベルの罰金は他にありませんが、DLAパイパーの報告によると、EU全土のDPAはかなり忙しくしています。

・従業員のパスワードをハッシュ化できなかったため、会社に2万ユーロの罰金が科せられ、セキュリティ侵害が発生しました。
・2019年1月にインターネット上で健康データを公表したことに対して8万ユーロの罰金
・公的歩道の部分的な監視のために過剰とみなされた違法CCTVシステムの操作のためにオーストリアで発行された4,800ユーロの罰金。
キプロスは4件の罰金も報告しており、その総額は11,500ユーロにのぼります。
・マルタは、合計17の罰金を報告しました。国の比較的小さい規模を考えると、驚くほど大きな数です。

個々の事例は拾えてませんが、1件目は宅ふぁいる便の平文パスワードが日本のインシデント事例に当たりそうです。(GDPR違反だったらかなり衝撃的な罰金だった気がします)2件目は公開設定ミス(意図しない情報のネット公開)でしょうね。3件目は監視してはいけない部分にCCTV(監視カメラ)を設置した・・そんな事件なのかなと想像します。

 

■1/31(英語記事)

GDPR: From confusion to chaos - DCD

混乱からカオスに・・・なかなかGDPRの状況を良く表しているタイトルです。記事内容で気になったのは、平均データの部分です。

フランスの規制当局によるグーグルに対する最近の5,700万ドルの罰金により、コンプライアンスへの時間と投資がますます明らかになっているにもかかわらず、コンプライアンス違反の高コストが現実のものとなりつつあります。IAPPの調査によると、「平均的な組織はコンプライアンスへの取り組みに300万ドルを費やしました」と「大規模企業では予想されるより長い予定で」「要件を満たすために平均7ヶ月」を費やすと推定されます。新たな義務はありますがガイダンスはほとんどありませんが、罰金の脅威がますます大きくなるにつれて、企業はデータの収集と保守への取り組みを再構築しようとしています。

日本企業へのGDPR影響がどの程度なのかは分かりませんが、対策費用と罰金を考えると、リスク(最大罰金)を考えれば、対策費3-4億円というのは必要な対策費と言えるかと思います。ただし大企業で7ヶ月も対応にかかるという部分、対策をしていくのであれば、よく考えるべき推定期間ではないでしょうか。(対策するならGAP分析など、早く手を打つべきなのではないでしょうか)

 

 

参考:

foxsecurity.hatenablog.com

 

å®ãããå人æå ±ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月2日AM(予約投稿)