2021/11/12
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスク
WTW(ウイリス・タワーズワトソン)
WTW(NASDAQ:WTW)は、企業に対し、人材、リスク、資本の分野でデータと洞察主導のソリューションを提供している。世界140の国と市場においてサービスを提供しているグローバルな視点とローカルな専門知識を活用し、企業戦略の進展、組織のレジリエンス強化、従業員のモチベーション向上、パフォーマンスの最大化を支援する。顧客と緊密に協力して、持続可能な成功への機会を見つけ出し、顧客を動かす視点を提供することをモットーに事業活動を行っている。
ランサムウェアの支払いを行うことを決定した組織に対し、政府機関への通知を要求する法案が9月の最終週に米上院議会で提出された。サイバー攻撃被害に伴う一段と厳しい要件が求められる中、企業や組織はどのように対応し、どのような実情があるのだろうか。
GDPR(EU一般データ保護規則)が適用される場合、データ侵害が判明してから72時間以内に監督当局への通知が必要となることは以前のニュースレターで触れた。*1
米国では企業がランサムウェア攻撃被害に遭い、それに応じて身代金の支払いを決定した場合には、24時間以内にCISA(国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)への通知を要求する、サイバーインシデント報告法案*2が上院議会へ提出され、その動向に注目が集まっている。州政府や地方自治体、50人以上の従業員を抱える企業や非営利団体が対象とされており、この通知をもし行わなかった場合には司法省による措置が講じられ、政府機関との取引を禁止される可能性もあるとする罰則規定も設けられている。
GDPRにおいては、求められた期間内にデータ侵害に遭ったことを報告しなかったとして、オランダのデータ保護監督当局APが大手旅行予約サイトに475,000ユーロ(およそ6,000万円)の制裁を科したことは記憶に新しい。*3 もし通知そのものが行われなければ、これ以上の影響を伴う制裁を科される可能性もあるだろう。
サイバー攻撃の被害が発生した場合、影響範囲の調査や確認、中断している業務の復旧および代替策の実行、また復旧対応やその計画、そしてこれらのための調達といったことが同時進行で行われていく。ランサムウェア被害に遭った場合には、身代金要求に応じるかどうかの検討や攻撃者側との交渉なども付け加わる。
それらに加えて、関連法規制に準じた監督当局への通知を、定められた期限迄に行う必要もある。
GDPRに関連した監督当局への通知であれば、被害状況や影響を受ける可能性のあるデータ主体の性質といった情報に加えて、個人データをどのように取り扱っていたのかといった状況なども伝えていくことになる。
ただし、通知に際して求められる項目は各国の監督当局ごとに微妙に異なっているため、通知を行おうとしている監督当局のフォームやガイダンスを確認しながら進めていかなくてはならない。
そして、通知のための情報を整理していく中で、多くの場合発生するのが業務委託先などとの契約条件を確認する作業だ。個人データを業務委託先などと共有しながら業務を行っている場合もあるし、データ処理を委託している場合も多い。業務委託先に一任していたので知らぬ存ぜぬということでは許されず、通知の中で自らの責任のもと説明していく必要がある。
場合によっては、その業務委託先に対しても監督当局への通知を行うよう求められることもある。ただし、これまでの経験においては、業務委託先との資本関係の有無など両社の関係性によっても対応が異なってきたため、本稿では言及しないこととする。
データ処理契約に求められる要件は、GDPRの条文でも述べられている。しかし、その要件を契約書へ記載すれば良いという単純なものではない。要件がどのように満たされ、契約対象は個人データ処理に必要なセキュリティレベルをどのように実現しているのか、その実装に関しても具体的な情報を含めていく必要がある。法律の用語を連ねていけば良いというものではない。
データ処理に際しての業務委託元と業務委託先、すなわちデータ管理者およびデータ処理者との間の契約については、GDPRの発行体である欧州データ保護委員会(EDPB)よりガイドライン *4 が提供されている。このガイドラインは今年7月に更新が行われているので、そこから具体的な方法についていくつか紹介したい。
まず、処理契約に限った話ではなく、データ処理全般に対しても求められていることであるが「処理活動の記録」を残すこと。
また、処理活動の記録に加えてデータ保護監査の報告書などによって、処理者が技術的対応および組織的対応の実施を証明できるようにしておくこと。
そして、データの管理者と処理者の双方が、データ保護のための規則を遵守していることを確認すること。
このデータ保護のための規則については、GDPRの要件を単に言い換えるだけでなく、処理の実行方法に関する具体的な情報を含めていく必要がある。
また、監督当局への通知で期限が定められているのと同様に、処理者と管理者との間においても個人データの侵害を通知する期限を設定することを推奨している。その事実が判明した際に通知するタイミングについて、双方での意見の不一致がしばしば発生しているためである。
そのほかには、監査を実施する際のコストについて話し合うことを推奨しており、相手方に不利な影響を与える不均衡または過剰なコストを課すことに注意しなくてはならないとしている。これら以外にも参考となる情報が多く盛り込まれているため、ご参考いただきたい。
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスクの他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方