(イメージ:写真AC)

半導体不足など、COVID-19はグローバルで構築されたサプライチェーンにも甚大な影響を及ぼしている。サイバーリスクにおいてもサプライチェーンリスクは深刻な問題となっているが、はたして特効薬と呼べるような対策・対応はあるのだろうか。

72時間以内に監督当局へ報告すること

大手旅行予約サイトに対して、2021年3月にオランダのデータ保護監督当局APが475,000ユーロ(およそ6,000万円相当)の制裁を科した*1。GDPR(EU一般データ保護規則)が求める期間内に、データ侵害に遭ったことを報告しなかったためである。

前回の記事*2では、データ侵害発生時に監督当局に対して72時間以内の報告がGDPRで求められているということ、そして、通知の際のポイントや通知に伴うリスク評価の必要性について述べたが、その要求に応じることができず制裁を科された事例だ。

同社では2018年に4109人もの顧客の情報を漏えいさせたデータ侵害が発生している。ところが、監督当局への報告はデータ侵害が発覚してから「22日後」に行われたため、今回の制裁が科されることとなった。また、影響を受ける顧客に対してのデータ侵害の通知や補償の提案を開始したのは、そのわずか3日ほど前からであった。

今回監督当局より公表されたプレスリリースには、「適切な予防策を講じていたとしても、残念ながらデータ漏えいはどこでも発生する可能性がある。しかし、顧客への損害や再発を防ぐために、時間内に報告する必要がある。」とするコメントも記されている。迅速な対応が求められているのだ。

しかし、同社では社内で望むほど迅速に問題をエスカレーションできなかったことが根本原因の一つであると捉えている。前回*2ブリティッシュエアウェイズが制裁金額を大幅に減額された事例を紹介したが、日頃からの行動計画やトレーニングなどの備えが迅速な対応には不可欠なものであるという好例だろう。

本稿執筆時点では、米バイデン政権でも緊急で進めている大統領命令において、連邦政府と取引しているベンダーでセキュリティー侵害が発生した際には数日以内に報告する必要があるとする要件を盛り込むものと思われている。

その際には、より多くのデジタル記録を保存し、FBI(米連邦捜査局)およびCISA(国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁)と協力していかなくてはならない。

また、この大統領命令では、特定のソフトウエア標準を満たすことや、データ暗号化、多要素認証などの義務化によって、基本的なセキュリティーの改善を目指していく。