◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
▼当社無料メルマガ登録はこちら
以下のような新着情報を毎週配信しています♪
https://m.technica-zen.com/ms/form_if.cgi?id=fm
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
<NTTデータの子会社への制裁>
前回のAIポリシーの話題で紹介しようと思って忘れていたことがあります。それは、CAIDPのトレーナーから伝えられた次の言葉です。
”Lawyers first think if it’s binding or not, but policy makers first think if it support the democratic value or not”
(法律家は「拘束力があるか」をまず考えるが、ポリシーメーカーは民主主義の価値を支持するかをまず考える)
立場によって「かぶる帽子」(マインドセット)を切り替えるということのとても分かりやすい例で、勉強になりました。私たちは、「立場」によって話し方が変わります。そして、「立場」によってふさわしい考え方があります。これをうまく使い分けたいものです。
今日の本題ですが、2022年11月10日にNTTデータのスペイン子会社がスペイン監督機関であるAEPDから64000ユーロの制裁を受けたと日経新聞が報じていました。この判決は10月9日に出たものでArt. 5 (1) f) GDPR(機密性、完全性), Art. 32 GDPR(処理のセキュリティ)への違反に対するものです。具体的には、2021年9月の調査で発覚したEVERIS社(2021年10月までの社名、現在はNTTデータスペイン)の個人データ保護に対する技術的措置への不備に対する制裁措置でした。EVERIS社は2019年にランサムウェアの被害にあっており、これに対する制裁かと思われます。データ侵害により「保険会社のユーザーの販売データに関する情報と、保険会社のスペインの顧客の個人データの記録を公開」することとなったが、それを予防するセキュリティ対策が不十分だったということです。
日本の個人データ保護対応では、日本企業が制裁を受けたら他の企業も真剣度がさらに上がるといわれてきました。実際、このニュースを機にSNSで「日本でいっしょにビジネスをしましょう」と呼びかける日本のプライバシー関連企業もあり、他人の不幸をメシの種にするコンプライアンス系のコンサルティング会社の定石を再確認した気がしました。
今回の件に関しては、ランサムウェアで流出したデータへの保護不足というのが性質のようなので、保管データの暗号化等、流出を前提としたセキュリティ対策への移行を促すものと考えていただければよいのでしょう。エンドポイントセキュリティも重要ですが、サードパーティサービスを利用する限りはセキュリティホールはふさぐことができないため、なかなか悩ましいところです。
GDPRの日本企業への制裁として今回のケースは初めてのケースでしたが、シンガポールではPDPA違反ですでに数多くの日本企業が罰金を科されています。新聞やメディアはニュースになるものを報じます。ただ、実際のオペレーションはニュース性が重要なわけではないので、実際に影響をうける法域について、満遍なく目配りをしておきたいところです。
https://www.pdpc.gov.sg/All-Commissions-Decisions
もう一点付け加えておきたいことは、データ侵害や制裁を経験することは好ましいことではないものの、その結果として得られる組織の進化にも価値を見出しておくとよいということです。データ侵害や制裁のコストは、次のステージに上がるための授業料という側面もあります。NTTデータは現在、私が知る限り、とても先進的なセキュリティ対策を導入されている企業です。スペインの事例だけではないのでしょうが、学習され前に進んだ結果なのでしょう。
▼関連資料
https://www.aepd.es/es/documento/ps-00401-2022.pdf
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
≪当社無料メールマガジンのご案内≫
▼メルマガ登録はこちら
https://m.technica-zen.com/ms/form_if.cgi?id=fm
・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。
・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。
・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆