ハッキングされると二重に高くつく：サイバー攻撃によりデータ保護局から罰金を課せられる場合について

Takashi Ochiai
1 読む時間
木曜日, 4月 15, 2021

2週間前、スペインデータ保護庁（AEPD）は、2018年に同社が受けたサイバー攻撃で、顧客の個人情報や銀行情報が盗まれたとして、Air Europaに60万ユーロの罰金を科しました。2020年には、同じ理由で英国当局からマリオット・ホテルに2,050万ユーロ、ブリティッシュ・エアウェイズに2,200万ユーロの罰金が科せられている。

サイバー攻撃を受けた企業が、データ保護に関する有機法（LOPD）によって制裁を受けるケースは、一般的ではありませんが、起こり得ることです。AEPDがToastyBitsに説明したところによると、あらゆる種類の個人情報が侵害された攻撃について企業が受け取った通知のうち、制裁手続きを開始するために調査されるのはわずか10％で、罰金に至る割合はさらに低いとのことです。

サイバー攻撃を受けた企業が、基準で定められた期間（気付いてからせいぜい72時間）内に報告しない場合と、サーバーに保存されている個人情報の盗難を防ぐために、機関の基準に沿った適切な措置を講じていない場合の2つだけです。

“サイバーセキュリティ企業Áudea社のリーガルマネージャーであるJohanna Alvarez氏は次のように説明します。「当局は、何が起きたのか、どのように攻撃を麻痺させているのかを教えてほしいと言ってきますが、データが増えればその情報を拡大していきます。

したがって、当局の意図は、漏洩した可能性のあるデータ、被害を受けた人のサイバー攻撃の範囲を認識し、組織がその個人情報の盗難や漏洩を防ぐために可能な限りの努力をしていることを確認することにあります。しかし、会社が規格の規定に沿ってすべきことを行っていないと判断した場合には、制裁のプロセスを開始します。

エア・ヨーロッパの事例

Air Europaのケースは、制裁を受ける可能性のある2つの前提条件を遵守していなかったため、典型的なケースです。攻撃が発生してから41日後に連絡したため、10万ユーロの罰金が科せられ、サイバーセキュリティ対策がサーバーを守るのに十分ではなかったため、AEPDの基準によれば、顧客の個人情報を守るために可能な限りのことをしていなかったことになり、50万ユーロの罰金が科せられました。

ToastyBitsに寄せられた専門家の意見によると、スペインのデータ保護局が企業に制裁を科すことができる最も一般的な理由は、サイバー攻撃の報告の遅れだそうです。このような遅延の背景には、このようなケースをどのように進めるべきかについての知識がないことや、このような危機的状況が発生した場合に対処するためのプロトコルが事前に確立されていないことがあります。

“セキュリティ侵害が発生した場合、誰がどのような行動を実行するのか “を確立する必要があります。それが起こるとき、データ管理者は、あなたが違反を解決し、それに関するすべての情報を収集することができますタスクを指定して、アクションプランを実装する必要があり、“AEPDから説明した。

このコミュニケーションを行うために、同庁はウェブサイトにComunica-Brecha RGPDというツールを用意しています。このツールを使って、個人データの処理に責任を持つ組織や担当者は、個人データに影響を与えるシステムのセキュリティ違反を伝えることができます。

このコミュニケーションのために、企業の責任者は、侵害がどのように発生したか-デバイスの紛失や盗難、ランサムウェア攻撃、フィッシングなど-に関する情報を収集する必要があります。発生源が社内なのか社外なのか、偶発的な攻撃なのか意図的な攻撃なのか、影響を受けたデータの量、影響を受けたデータのカテゴリー（連絡先などの基本的なデータや健康関連情報などの特殊なデータ）、影響を受けた人のカテゴリー（顧客、従業員、患者、学生など）、侵害の時系列（いつ開始したか、いつ検出されたか、いつ解決したか、または解決する予定か）などです。

ただし、すべてのセキュリティ違反をAEPDに通知することは義務ではなく、個人のデータの漏洩や盗難により個人の権利や自由にリスクが生じるものに限られます。このような場合に代理店に通知するかどうかを判断するのは、組織のデータ処理のために会社が定めた責任者です。

適切な対策

一方、組織がサイバー攻撃を受けてあらゆる種類の個人データが侵害され、スペインデータ保護局が調査を開始した場合、その企業の責任者は、侵害を防ぐために適切な予防措置を講じたことを証明できなければなりません。

“この機関は、予防的なセキュリティ対策を実施し、定期的な監査報告、セキュリティ対策の遵守、毎年のリスク分析など、それらを認定する方法を求めています」とアルバレス氏は説明します。

これらの文書に、保護レベルが適切であったことを示す他の証拠を加えることができます。例えば、この種の攻撃を受けたことがないこと、1回限りの攻撃であること、あるいは同業他社の多くが危険にさらされたことなど、誰も準備していなかったことを示すことができます。

また、企業が予防措置を講じていることを証明する方法として、サイバーセキュリティや個人データ処理に関する無料のトレーニングを少なくとも年1回、従業員に提供していることを証明することがあります。これは、フィッシングなどの形態でのサイバー犯罪者による攻撃を防ぐのに役立ちます。

最後に、Áudea社の法務担当者は、サイバー攻撃を受けた場合の対処法を従業員が知っていることも重要であると強調しています。「時間がないので、この種のことが起こった場合にどのような手順を踏むべきかを全員が知っているような、非常によく実行された手順を社内に用意しておくことが重要です」。

Mapfreは制裁を受けていない

Mapfre社は、サイバー攻撃を受けて報告したすべての企業が制裁を受けるわけではないという例の一つです。昨年2020年8月、保険会社がサイバー犯罪者に攻撃され、顧客の個人情報が流出した可能性があります。しかし、同社は侵害の影響を最小限に抑えるための予防策を講じていたため、AEPDは調査を棚上げにして制裁を加えませんでした。

“本手続きの決議に詳述されているように、同社は、攻撃を受ける前に確立したプロトコルと事業継続計画に従って行動したため、結果を軽減し、マルウェアの拡散を防ぎ、最終的にマルウェアを特定、隔離、排除することができました。また、INCIBE（国立サイバーセキュリティ研究所）とCCN-CERT（国立暗号センター）にサイバー攻撃を報告し、ウェブサイトで情報を公開しました」と、Tecnogados法律事務所でプライバシーと新技術を専門とする弁護士のJuan Carlos Fernández氏はToastyBitsに説明しています。

前述の決議では、「調査対象企業は、想定されるリスクに応じて合理的なセキュリティ対策を講じていた」、「流出の試みが検出されて回避されたため、影響はほとんどなく、サイバー攻撃が公表されたスピードと相まって、顧客が効果的に行動することができた」、「この種の事故を回避するための合理的な技術的・組織的対策を講じていたことは明らかであり、個人情報のセキュリティ侵害を迅速に特定、分析、分類することができた」としています。

以上のことから、AEPDは、Mapfreがシステムで扱う個人情報の保護について、「規則に沿って熱心に取り組んでいた」と判断しました。

画像1：Christiaan Colen