政府は、2021年3月に発表した最新の「サイバーセキュリティ侵害調査」で、39%の企業が調査前の12ヶ月間にサイバーセキュリティ侵害や攻撃を受けたと報告しており、侵害は企業にとって多額の費用が発生する「深刻な脅威」であると述べています。最近の独立系レポートでは、調査対象となった重役のうち、52%が「従業員が業務上のセキュリティに対する最大の脅威である」と考えていることが示されています。
データ保護法の遵守を怠った場合のリスクとは何でしょうか?
深刻な風評被害のリスクに加えて、英国のGDPR(UK GDPR、一般データ保護規則)の罰金は、最高1750万ポンドまたは世界での年間売上高の4%のいずれか高い方に達する可能性があります。
データ侵害とは何でしょうか?
データ侵害は以下のいずれかに該当します。
- アクセスすべきでない個人データに誰かがアクセスしてしまうことで発生する「機密性の侵害」。例えば、個人データを誤った相手に電子メールで送信した場合など。
- 「完全性の侵害」は、個人データを変更する権限を持たない人が個人データを変更した場合に生じます。例えば、従業員が誤ってデータを変更した場合などです。
- 「可用性の侵害」、データにアクセスできなくなり、それが偶発的または不正に行われた場合に生じます。例えば、サーバーの故障など。
従業員にはどのようなリスクがあるのでしょうか?
従業員は企業にとって最大の資産であると同時に、深刻なリスクになる可能性もあります。ICO(英国個人情報保護監督機関)が最近発表したデータには、一般的に侵害として報告されたケースの詳細が記載されています。その中には、データが誤った受信者に送信されたり、電子メールの「cc」フィールドではなく「bcc」フィールドが使用されたり、フィッシング(phishing)、データの紛失や盗難、データへの不正アクセス、改訂の失敗などが含まれています。これらのケースの多くは、必然的に従業員が関与することになります。
そのようなリスクを軽減するために、どのような手段を講じることができるでしょうか?
適切なポリシーと手順を導入することに加え、従業員に適切なトレーニングを受けさせることは、データ侵害が発生するリスクを軽減するとともに、データ侵害が発生した場合にデータ侵害を特定する方法や、適切な措置をとる方法を従業員に理解させるのに役立ちます。
トレーニングはどのように行われるのでしょうか?
3CSでは以下のトレーニングをご提供致しております。
- 英国のGDPR(UK GDPR、一般データ保護規則)コンプライアンスの重要な面をカバーするGDPR全般のトレーニング。
- 従業員を対象とした一般的なデータ侵害トレーニング。このセッションでは、侵害を防ぐ方法、侵害を特定する方法、侵害があった場合の対処法など、データ侵害について従業員が知っておくべきことを取り上げます。また、セッションの一環としてケーススタディも検討します。
- 経営陣やデータ保護の責任者を対象としたデータ侵害トレーニング。このトレーニングセッションは、組織内でデータ保護に関する意思決定を行う責任者(シニアマネージャーを含む)を対象としています。侵害を防ぐための一般的なコンプライアンス戦略、データ侵害対応計画の策定、データ侵害が発生した場合に組織がすべきことを取り上げます。このセッションでは、実践的なケーススタディも含まれます。
ICO(英国個人情報保護監督機関)は、データに関する重要な責任を負う特別な役割や職務を担う者には、従業員に提供される一般的なトレーニングの範囲を超えた追加のトレーニングを提供することを推奨しています。このようにトレーニングを分けることで、すべての個人にそれぞれの役割に合った適切なトレーニングを確実に提供する助けとなります。
弊所が提供するトレーニングに関する詳細情報、またはデータ侵害の防止や対処に関する支援をご希望の場合は、3CSのコーポレート/コマーシャル部門または3CSの担当者までご連絡ください。
