データプライバシーセキュリティインシデントを報告する

学習の目的

この単元を完了すると、次のことができるようになります。

• 何がデータプライバシーセキュリティインシデントとみなされるかについて説明する。
  
• データプライバシーセキュリティインシデントの可能性を特定する。
  
• データプライバシーセキュリティインシデントの発生を疑う場合または知った場合に何をすべきか把握する。
  

セキュリティインシデントとは?

欧州連合 (EU)、中南米 (LATAM)、日本及びアジア太平洋 (JAPAC) 地域、米国の全州および領土を含め、世界中の多くの当局はセキュリティインシデントの通知に関する法律を採用しています。米国では最近、2022 年米国サイバーセキュリティ強化法案 が大統領の署名によって発効しました。これにより、重要なインフラストラクチャ企業には重大なサーバーセキュリティインシデントとすべての身代金支払いを国土安全保障省のサイバーセキュリティインフラストラクチャ安全保障局 (CISA) に報告することが義務付けられました。

組織が事業を行っている国に応じて、政府機関、ヘルスケア、エネルギー、通信、金融サービスプロバイダーなどの特定の業種を対象とするインシデント報告に関する法律や規制が多数存在し、そのそれぞれで何をセキュリティインシデント (またはデータ侵害) とするかが独自に定義されています。組織に影響を及ぼすセキュリティインシデントの通知に関する法律に応じて、顧客データに適用されるセキュリティインシデント通知要件をお客様との契約やサービスレベル契約 (SLA) に含める必要があります。

データプライバシーセキュリティインシデントとは、偶発的か意図的かを問わず、顧客データの無許可の使用を意味します。以下は、一般的なセキュリティインシデントの例です。

• 営業担当が顧客データの含まれたメールを間違ったお客様に送信した。
  
• マネージャーが採用候補者の履歴者を印刷したが、帰宅途中で電車に置き忘れた。
  
• 離職した元従業員が退職後も組織のシステムにアクセスでき、顧客レコードにアクセスした。
  
• インターンがマルウェアの含まれるメールの添付ファイルを開いた結果、顧客の連絡先情報ファイルが削除または暗号化された。
  
• 共有ドライブの権限が余分に付与されているために、個人データへのアクセス権が付与されたユーザーが多すぎた。
  
• お客様の認証情報または秘密鍵が、公開 Github リポジトリに誤って公開された。
  
• 従業員の仕事用デバイス (ラップトップやスマートフォンなど) が紛失した、または盗まれた。
  
• 従業員がメールへの返信で個人データを誤って開示し、そのメールがフィッシング攻撃であると判明した。
  

上記のすべてのインシデントがセキュリティインシデントに該当する可能性があり、組織のセキュリティチームに報告する必要があります。

セキュリティインシデントの報告

データプライバシーインシデントが発生した可能性が疑われる場合は、データ侵害またはセキュリティ侵害に該当すると 100% 確信していなくとも、直ちに報告してください。組織に年次セキュリティ意識トレーニングプログラムがある場合は、それを復習して、組織での疑わしい活動やセキュリティインシデントの可能性を報告する方法を確認してください。

インシデントを報告するときには、できるだけ多く、次のような情報を提供する必要があります。

• 何が起きたか
  
• 関係していた個人やグループは誰か
  
• インシデントが発生した日時とタイムゾーン
  
• 関係しているまたは影響を受けた可能性のあるサービス
  
• フォローアップの質問のための連絡先
  

セキュリティインシデント報告のタイムライン

組織は、規制機関、お客様、影響を受けた個人に短時間内にデータプライバシーインシデントを報告することを法律で義務付けられる場合があります。従業員にはセキュリティインシデントをただちに社内セキュリティチームに報告する義務があります。そうすることで、セキュリティチームがインシデントを調査し、外部報告要件を満たす時間ができます。場合によっては、義務付けられた時間内に、該当する関係者にデータプライバシーインシデントを通知しなければ、多額の罰金、契約上の義務違反の可能性、お客様からの信頼の毀損につながる恐れがあり、組織の評判に傷がつきかねません。

したがって、セキュリティインシデントの可能性があれば、どんなことでも直ちに報告することが非常に重要です。自分自身のミスで個人データまたは顧客データが公開された場合でも同様です。

まとめ

このモジュールでは、データプライバシーに関する法律と原則について学習しました。また、顧客データを識別する方法と、データを取り扱うことが許可されているのは誰かについても学習しました。最後に、データプライバシーインシデントの報告要件についても学習しました。

サイバーセキュリティのキャリアとテクノロジーについての詳細に関心がある方は、Cybersecurity Learning Hub (サイバーセキュリティ学習ハブ) にアクセスすれば、その他のセキュリティトピックについて学習したり、実務でセキュリティに携わる人から話を聞いたりすることができます。

リソース

• 外部サイト: IT Governance USA: Data Breach Notification Laws by State (州ごとのデータ侵害通知に関する法律)
  
• 外部サイト: Siteimprove: What Is a Data Breach and How Do I Report It Under GDPR? (データ侵害とは? GDPR に従って報告する方法は?)
  
• 外部サイト: JDSUPRA: New Cybersecurity Law Will Require Cyber-Incident Reporting for Critical Infrastructure (新しいサイバーセキュリティ法では重要なインフラストラクチャのサイバーインシデント報告が義務付けられる)