Last Updated on 2024-02-24 02:39 by 荒木 啓介
プライバシー違反がランサムウェアを上回り、サイバー保険の主要な懸念事項となっている。ランサムウェアによる損失が依然として高いものの、保護された個人識別情報(PII)の取り扱いの誤りによるクレームが、ランサムウェア攻撃のコストに匹敵する可能性があると、Woodruff Sawyerのサイバー責任副社長David Andersonが警告している。プライバシー関連のクレームは法的プロセスを経るのに数年を要するが、その損失は3日から5日の間に発生するランサムウェアのクレームと同様に、3年から5年の間に壊滅的なものとなることが多い。
ピクセルトラッキングのクレームが、適切な同意を得ずに画面上のピクセルを通じてウェブサイトの活動を追跡する企業を対象とした訴訟の最新のターゲットとなっている。このような活動が原因で、Woodruff Sawyerの調査によると、サイバー保険のアンダーライターの31%がプライバシーを2024年の最大の懸念事項として挙げており、これは63%の回答者が選んだランサムウェアに次ぐものである。
プライバシー訴訟は裁判所を通じて解決されるまでに5年から7年を要することが多く、2024年は2017年から2019年にかけて提出されたプライバシー関連のケースが集中して解決される年となる。例えば、欧州連合の一般データ保護規則(GDPR)は2018年に施行されたため、これらのケースは初期のGDPR違反を代表している。
多くの企業が、収集したデータの種類やそのデータがどこに存在するかを把握していないため、プライバシーは取締役会やセキュリティチームにとって挑戦的な課題となっている。企業はデータを資産として蓄積する傾向があるが、そのデータが誤った手に渡った場合に規制違反や法的違反を引き起こす可能性があるため、特に個人識別情報(PII)を削除することが重要である。
多くの企業が、保有するデータに関連するプライバシー法や規制要件をすべて追跡していないという大きな課題に直面している。米国のデータプライバシー法の風景を理解するだけでも十分に困難であるが、ほぼすべての州が健康記録や子供のデータに特化した独自の法律を持っていることを考慮すると、さらに複雑になる。また、欧州連合の市民に関するPIIを持つ組織は、GDPRにも準拠する必要がある。
【ニュース解説】
企業が直面するサイバー保険の懸念事項において、プライバシー違反がランサムウェアを上回る主要な問題となっています。ランサムウェアによる損失は依然として高いものの、個人識別情報(PII)の取り扱いに関する誤りが、ランサムウェア攻撃のコストに匹敵する可能性があると指摘されています。特に、ウェブサイトの活動を追跡するピクセルトラッキングに関するクレームが、適切な同意を得ずに行われていることが訴訟の新たな焦点となっています。
プライバシー関連の訴訟は解決までに長い時間を要することが多く、その間にも損失は膨大なものとなり得ます。2024年は、特に2017年から2019年にかけて提出されたプライバシー関連のケースが集中して解決される年となる見込みです。これは、多くの国や米国の州が新しいプライバシー法を制定する前の期間に提出されたケースであり、初期のGDPR違反ケースも含まれます。
企業が直面する課題の一つは、収集したデータの種類やそのデータがどこに存在するかを正確に把握していないことです。データを資産として蓄積する傾向がありますが、そのデータが誤った手に渡った場合には、規制違反や法的違反を引き起こす可能性があります。そのため、特に個人識別情報(PII)を削除することが重要です。
さらに、多くの企業が保有するデータに関連するプライバシー法や規制要件をすべて追跡していないという課題に直面しています。米国内だけでもデータプライバシー法の風景は複雑であり、ほぼすべての州が健康記録や子供のデータに特化した独自の法律を持っています。また、欧州連合の市民に関するPIIを持つ組織は、GDPRにも準拠する必要があります。
このような状況下で、企業は単に各種のコンプライアンス規制や州法に準拠し、サイバー保険を持っていれば十分であると考えがちですが、それだけでは不十分です。例えば、公表されたプライバシーポリシーに完全に従っていない場合、それは多数の規制違反罰金を引き起こす可能性があります。また、消費者がメーリングリストからの削除を要求した場合、その要求がすべての州法に準拠している必要があります。このような細かな違反が、保険請求の否認につながる可能性があります。
企業は、自らが抱える可能性のあるコンプライアンスの穴を埋めるために、サイバー保険提供者が提供する支援を活用することが推奨されます。これには、規制やポリシーを遵守するためのセキュリティテーブルトップ演習などが含まれます。これは理論上の話ではなく、実際に2022年には、ある企業が保険申請のアンケートで多要素認証の使用について誤った情報を提供したため、サイバー保険キャリアによって訴訟が起こされ、保険ポリシーがキャンセルされ、請求が拒否された事例があります。
“プライバシー違反、サイバー保険の新たな主要懸念に急浮上” への1件のコメント
プライバシー違反がランサムウェアを上回り、サイバー保険の主要な懸念事項となっているという事実は非常に注目に値しますね。私の職業生活で経験してきたことからも、個人情報の取り扱いの重要性は日に日に増していると実感しています。特に、私が働く製薬業界では、患者さんの情報を取り扱うことが多く、その保護は最優先事項です。
この記事で指摘されているように、プライバシー関連のクレームが法的プロセスを経るのに数年を要し、その損失が膨大なものになる可能性があることは、企業にとって大きなリスクです。特にピクセルトラッキングのような、ユーザーの同意なしに行われる活動による訴訟は、企業の評判にも影響を及ぼし得ます。
また、企業が収集したデータの種類やデータの存在場所を正確に把握していないことが課題となっているのは、セキュリティ管理の基本であるにも関わらず、よくある問題です。私たちの会社でも、データ保護に関する教育や対策の強化が常に求められています。
さらに、米国内やEUのGDPRなど、複雑化するプライバシー法や規制要件に全て追跡して準拠することは、非常に困