データ漏えい:あなたがそれを知っているなら、あなたはそれを避けますか? 常にではない

ビュー

(弁護士でAidr RegioneLombardiaの責任者であるFedericaDe Stefaniによる)データ漏えいについてよく耳にしますが、データ漏えいから生じる要求は、ほぼ当然のことながら、それを回避する可能性、または少なくとも封じ込める可能性に関するものです。それ。

残念ながら、その答えは否定的です。「ゼロリスク」が存在しないため、データ侵害を回避することはできません。

サイバーインシデントの「罠」に陥る機会を制限することは確かに可能であり、それから生じる結果を制限することも可能ですが、これは別の問題です。

多くの場合、ハッカーの攻撃によってのみ識別されるデータ侵害の現象を理解するには、それが何であるかを理解する必要があります。

データ漏えいとは何ですか

「データ侵害」という用語は、送信、保存、またはその他の方法で処理された個人データの破壊、紛失、変更、不正開示、またはアクセスを含む、偶発的または違法なセキュリティ侵害を示します。

ご覧のとおり、データ漏えいはハッカーの攻撃に由来しないデータの損失につながる可能性がありますが、次のような仮説で発生するように、データの可用性の喪失に起因する可能性もあります。たとえば、デバイスの盗難。

データ漏えいが発生したとき

データ漏えいの種類は非常に多様であるため、例として、許可されていない第三者によるデータへのアクセスまたは取得、個人データを含むITデバイスの盗難または紛失がケースに該当することを示すことができます。偶発的原因または外部からの攻撃、ウイルス、マルウェアなどによるデータ、個人データの故意の改ざん、事故、有害事象、火災またはその他の災害による個人データの損失または破壊、個人データの不正開示。

データ漏えいが発生する可能性のある場所

前述のように、データの可用性、整合性、および機密性に影響を与える違反として理解されているデータ侵害は、物理的およびデジタルの両方のあらゆる領域に関係する可能性があります。

たとえば、紙のアーカイブの破壊、文書の盗難、または改ざんや改ざんについて考えてみてください。

データ漏えいの影響を受けた被験者

データ漏えいは、個々のケースの特定の特性に応じて、さまざまな対象が関与する可能性のあるイベントを表します。

データ管理者は、芸術に従って、人です。 33 GDPRは、過度の遅延なしにアクティブ化する必要があり、可能であれば、それが判明した瞬間から72時間以内に、個人データの保護について保証人に違反を通知する必要があります。個人データの侵害は、個人の権利と自由に対するリスクを伴います。 それどころか、違反が自然人の権利と自由に高いリスクをもたらす場合、所有者は常に遅滞なく、利害関係者にも通知しなければなりません。 データ処理者が違反に気付いたときに任命された場合、彼は行動を起こすことができるように所有者に迅速に通知する必要があります。

データ漏えいの原因

前述のように、データ侵害とは、偶発的または違法に、処理されたデータの破壊、損失、変更、不正開示、またはアクセスを伴うセキュリティ侵害であり、実際には、講じられたセキュリティ対策が機能していないことを意味します。 ただし、データ侵害を、データ管理者の(客観的な)責任を導き出すために採用された措置の適切性と自動的に関連付けるというエラーに陥ってはなりません。 GDPRが所有者の側でこの種の責任を規定していないことを考えると、質問ははるかに複雑ですが、処理されたデータを保護するために彼が全力を尽くしたことを証明する可能性を提供します。

人的要因とトレーニングの重要性

予想通り、ゼロリスクが存在しないため、データ漏えいイベントを完全に排除することはできませんが、一方で、リスクを可能な限り制限するために採用する戦略と対策に疑問を呈する必要があります。

欧州規制の用語のように、「適切な」技術的および組織的対策を超えて、予防の重要な部分はスタッフのトレーニングによって表されます。

今日まで、人的要因は、構造化された大きなものでさえ、多くの現実でまだかなり広範囲のアキレス腱を表しています。

適切で具体的なトレーニングの欠如、ITツールと手順の使用に関する適切なポリシーの欠如は、今日でもデータ侵害のかなり広範囲にわたる原因となっています。

問題の核心は、採用された保護の種類だけでなく、その適用方法、データを処理する被験者に与えられた更新と特定のトレーニングによっても表されます。

実際、コンプライアンスはいくつかのレベルで行われ、横断的であり、技術的側面とサイバーセキュリティだけでなく、いわゆるヒューマンファクターに関する組織的および手続き的側面にも関係する必要があることを忘れてはなりません。

データ漏えい:あなたがそれを知っているなら、あなたはそれを避けますか? 常にではない