警告:「GDPRの恐喝」はビジネスに悪影響を与える可能性があります。対処方法は次のとおりです。
公開: 2019-01-12米国を拠点とするほとんどのビジネスリーダーは、GDPR(EU一般データ保護規則)に少なくともある程度精通しています。この広範なデータ規制は、欧州連合の市民のプライバシーを保護するように設計されていますが、米国のビジネスにも大きな影響を与えます。 。 また、新たに費用のかかるサイバー犯罪「GDPR恐喝」につながる可能性があります。
EUベースのデータ規制は米国のビジネスにどのように影響しますか? GDPRの恐喝とは何ですか? 企業はどのようにして自分自身を守ることができますか? これらは、この記事で取り上げる質問です。
一言で言えばGDPR
歴史上最も包括的なデータセキュリティ規制のセット(正確には、99の記事が11の章に編成されています)として、GDPRは世界中で眉と不安を高めています。
これは、顧客データを収集することで、あらゆる業界の企業がマーケティング、販売、顧客サービス、およびその他の多くの取り組みを改善するのに役立つためです。 現在、GDPRのおかげで、企業はより慎重にデータを収集する必要があります。
GDPRは、EU市民に、米国には存在しない何か、つまり個人データのプライバシーに対する権利を与えます。 この一連の法律にはどのような規制が含まれていますか? GDPRは非常に複雑になりますが、簡単に説明します。
現在、EU市民のデータプライバシーに対する権利は、データ収集に対する企業の関心を上回っています。 したがって、GDPRの下では、各EU市民は次のことを行います。
- データの収集を許可するかどうかを選択する権利
- それらについて収集されたすべてのデータを表示する権利
- 「忘れられる権利」とは、リクエストに応じて、Googleや他の検索エンジンによってデータを除外する必要があることを意味します
- そして最後に– GDPR恐喝現象を生み出した権利。これは、72時間以内にデータ侵害(ハッカーに起因する侵害など)について通知を受ける権利です。
GDPRは米国のビジネスにどのように影響しますか?
GDPRの恐喝とは何かを説明する前に、米国の企業がここで明確になっていない理由を強調する必要があります。
米国を拠点とするビジネスがEU市民にサービスを提供したり、EU市民に関する個人データを収集したりする場合は、GDPR規制に準拠する必要があります。 GDPRに該当する可能性が最も高い米国の業界には、旅行、ホスピタリティ、SaaS、eコマースなどがあります。 しかし、EU市場での任意の米国ベースのビジネス要件を満たすために準備を行う必要があります。
GDPR要件を満たさない場合の結果は何ですか? 罰金は2,000万ユーロ(2,270万ドル)にもなる可能性がありますが、そのようなEUの支払いが米国でどのように実施されるかはまだ明確ではありません。
しかし、GDPRコンプライアンスを満たしていない場合の結果は、衰弱させる料金をはるかに超えています。 EUの顧客基盤が大きい企業も、5億1000万人を超える市場で良好な状態を失うことに直面する可能性があります。
一方では8桁の支払いの脅威があり、他方ではEU顧客の信頼を犠牲にする可能性があるため、多くの米国企業は、GDPRに準拠するためにデータ管理フレームワークを再構築するしかありません。
GDPR恐喝
GDPRの違反に関連する深刻な結果が十分に心配されていないかのように、EUと米国のビジネスリーダーには、眠りを失うもう1つの理由があります。それは「GDPRの恐喝」です。
GDPRの準備を急いでいる幹部の狂ったダッシュは、サイバー犯罪者にとって最悪の状況を生み出しています。 ビジネスがGDPRに準拠しておらず、デバイスにパッチが適用されておらず、保護されていない場合、ハッカーはビジネスのデータにアクセスして不吉な最終結果を出す可能性があります。ハッカーに特定の金額を支払うか、データが漏洩します–不利な罰金にもつながるシナリオ。
この時点で、ハッキングされた企業に選択肢があります。 GDPR要件に従って、犯罪者をなだめるか、ICO(情報コミッショナーオフィス)にデータ侵害を通知します。
サイバー犯罪者は、多くの企業がさらに大きなGDPRの罰金に直面するのではなく、ハッカーに支払うことを選択することを知っています。 また、大衆の抗議を避けるために、ビジネスリーダーはしばしばサイバー犯罪者に支払いをし、データ侵害についてEU市民を暗闇にさらそうとします。
サイバー犯罪者に抵抗する
ハッカーに支払いをしたいという誘惑にも関わらず、サイバー犯罪の犠牲になった企業は、犯罪者と交渉するのではなく、その立場に立つ必要があります。 最善の行動は、違反をICOに通知し、ICOと協力して被害を軽減することです。 どうして? 少なくとも4つの理由があります。
- ハッカーが取引の最後まで生きて、被害を受けたビジネスにデータの管理を与えるという保証はありません。
- ハッカーにお金を払うことで、ハッカーは戻ってきて同じ会社を再び恐喝するようになります。
- サイバー犯罪者に屈服することで、世界中のさらに多くの企業を脅迫するための高度なテクノロジーを開発し続けることができます。
- サイバー犯罪者に抵抗する倫理的な理由があります。 人々は、自分の個人データがいつ違法にアクセスされたかを知るに値します。
IT環境全体にパッチを適用する
GDPRの恐喝からの最善の保護は、ハッカーがシステムに侵入するのをブロックすることです。 サイバー犯罪者は、パッチが適用されておらず、脆弱なデバイスを使用している企業を常に監視していますが、それには正当な理由があります。 Equifaxのような大企業でさえ、サーバーにパッチが適用されていないために侵害されています。
パッチ適用とは、ハードウェアとソフトウェアがすでにリリースされた後に明らかになったシステムの弱点を修復することです。 簡単そうに聞こえますが、プロセスは困難で複雑です。
パッチを適用する必要があるすべてのコンポーネントについて考えてください。 サーバーとルーター、オペレーティングシステム、アプリケーション、電子メールクライアント、デスクトップとラップトップ、モバイルデバイス、ファイアウォール、オフィススイートなど。 また、ITプロフェッショナルなら誰でも同意するように、企業のサーバーだけがパッチ適用の頭痛の種になる可能性があります。