警告:「GDPRの恐喝」はビジネスに悪影響を与える可能性があります。対処方法は次のとおりです。

公開: 2019-01-12

米国を拠点とするほとんどのビジネスリーダーは、GDPR(EU一般データ保護規則)に少なくともある程度精通しています。この広範なデータ規制は、欧州連合の市民のプライバシーを保護するように設計されていますが、米国のビジネスにも大きな影響を与えます。 。 また、新たに費用のかかるサイバー犯罪「GDPR恐喝」につながる可能性があります。

EUベースのデータ規制は米国のビジネスにどのように影響しますか? GDPRの恐喝とは何ですか? 企業はどのようにして自分自身を守ることができますか? これらは、この記事で取り上げる質問です。



一言で言えばGDPR

歴史上最も包括的なデータセキュリティ規制のセット(正確には、99の記事が11の章に編成されています)として、GDPRは世界中で眉と不安を高めています。

これは、顧客データを収集することで、あらゆる業界の企業がマーケティング、販売、顧客サービス、およびその他の多くの取り組みを改善するのに役立つためです。 現在、GDPRのおかげで、企業はより慎重にデータを収集する必要があります。

GDPRは、EU市民に、米国には存在しない何か、つまり個人データのプライバシーに対する権利を与えます。 この一連の法律にはどのような規制が含まれていますか? GDPRは非常に複雑になりますが、簡単に説明します。

現在、EU市民のデータプライバシーに対する権利は、データ収集に対する企業の関心を上回っています。 したがって、GDPRの下では、各EU市民は次のことを行います。

  • データの収集を許可するかどうかを選択する権利
  • それらについて収集されたすべてのデータを表示する権利
  • 「忘れられる権利」とは、リクエストに応じて、Googleや他の検索エンジンによってデータを除外する必要があることを意味します
  • そして最後に– GDPR恐喝現象を生み出した権利。これは、72時間以内にデータ侵害(ハッカーに起因する侵害など)について通知を受ける権利です。

GDPRは米国のビジネスにどのように影響しますか?

GDPRの恐喝とは何かを説明する前に、米国の企業がここで明確になっていない理由を強調する必要があります。

米国を拠点とするビジネスがEU市民にサービスを提供したり、EU市民に関する個人データを収集したりする場合は、GDPR規制に準拠する必要があります。 GDPRに該当する可能性が最も高い米国の業界には、旅行、ホスピタリティ、SaaS、eコマースなどがあります。 しかし、EU市場での任意の米国ベースのビジネス要件を満たすために準備を行う必要があります。

GDPR要件を満たさない場合の結果は何ですか? 罰金は2,000万ユーロ(2,270万ドル)にもなる可能性がありますが、そのようなEUの支払いが米国でどのように実施されるかはまだ明確ではありません。

しかし、GDPRコンプライアンスを満たしていない場合の結果は、衰弱させる料金をはるかに超えています。 EUの顧客基盤が大きい企業も、5億1000万人を超える市場で良好な状態を失うことに直面する可能性があります。

一方では8桁の支払いの脅威があり、他方ではEU顧客の信頼を犠牲にする可能性があるため、多くの米国企業は、GDPRに準拠するためにデータ管理フレームワークを再構築するしかありません。

GDPR恐喝

GDPRの違反に関連する深刻な結果が十分に心配されていないかのように、EUと米国のビジネスリーダーには、眠りを失うもう1つの理由があります。それは「GDPRの恐喝」です。

GDPRの準備を急いでいる幹部の狂ったダッシュは、サイバー犯罪者にとって最悪の状況を生み出しています。 ビジネスがGDPRに準拠しておらず、デバイスにパッチが適用されておらず、保護されていない場合、ハッカーはビジネスのデータにアクセスして不吉な最終結果を出す可能性があります。ハッカーに特定の金額を支払うか、データが漏洩します–不利な罰金にもつながるシナリオ。

この時点で、ハッキングされた企業に選択肢があります。 GDPR要件に従って、犯罪者をなだめるか、ICO(情報コミッショナーオフィス)にデータ侵害を通知します。

サイバー犯罪者は、多くの企業がさらに大きなGDPRの罰金に直面するのではなく、ハッカーに支払うことを選択することを知っています。 また、大衆の抗議を避けるために、ビジネスリーダーはしばしばサイバー犯罪者に支払いをし、データ侵害についてEU市民を暗闇にさらそうとします。

サイバー犯罪者に抵抗する

ハッカーに支払いをしたいという誘惑にも関わらず、サイバー犯罪の犠牲になった企業は、犯罪者と交渉するのではなく、その立場に立つ必要があります。 最善の行動は、違反をICOに通知し、ICOと協力して被害を軽減することです。 どうして? 少なくとも4つの理由があります。

  1. ハッカーが取引の最後まで生きて、被害を受けたビジネスにデータの管理を与えるという保証はありません。
  2. ハッカーにお金を払うことで、ハッカーは戻ってきて同じ会社を再び恐喝するようになります。
  3. サイバー犯罪者に屈服することで、世界中のさらに多くの企業を脅迫するための高度なテクノロジーを開発し続けることができます。
  4. サイバー犯罪者に抵抗する倫理的な理由があります。 人々は、自分の個人データがいつ違法にアクセスされたかを知るに値します。

IT環境全体にパッチを適用する

GDPRの恐喝からの最善の保護は、ハッカーがシステムに侵入するのをブロックすることです。 サイバー犯罪者は、パッチが適用されておらず、脆弱なデバイスを使用している企業を常に監視していますが、それには正当な理由があります。 Equifaxのような大企業でさえ、サーバーにパッチが適用されていないために侵害されています。

パッチ適用とは、ハードウェアとソフトウェアがすでにリリースされた後に明らかになったシステムの弱点を修復することです。 簡単そうに聞こえますが、プロセスは困難で複雑です。

パッチを適用する必要があるすべてのコンポーネントについて考えてください。 サーバーとルーター、オペレーティングシステム、アプリケーション、電子メールクライアント、デスクトップとラップトップ、モバイルデバイス、ファイアウォール、オフィススイートなど。 また、ITプロフェッショナルなら誰でも同意するように、企業のサーバーだけがパッチ適用の頭痛の種になる可能性があります。


たとえば、企業ではLinuxやWindowsなどの2つ以上のサーバーオペレーティングシステムを実行するのが一般的です。 さらに、多くの企業が、多数のLinuxディストリビューションを含む、これらのオペレーティングシステムのいくつかのバージョンを実行しています。

複雑であり、サイバー犯罪者にとってオープンウィンドウになる可能性のあるコンポーネントが非常に多いため、スマート企業はパッチ管理プロセスを実装して、すべてを自動的に追跡します。 たとえば、Cloud Management Suiteを使用すると、IT管理者は、オペレーティングシステムに関係なく、会社が使用するすべてのデバイスとソフトウェアパッケージに継続的にパッチを適用できます。

従業員を教育する

多くのハッカーは、従業員を裏切るだけで膨大な量の個人顧客データにアクセスできるため、サイバー犯罪の手法についてスタッフを教育することが重要です。 従業員と経営幹部には、必須の「ソーシャルエンジニアリング」を実施する必要があります。 従業員に警告するいくつかの重要なトピックは次のとおりです。

  • 誰かがITを形成していると主張する従業員に電話をかけ、パスワードやその他の機密情報を要求する場合など、従来のソーシャルエンジニアリング
  • サイバー犯罪者がマルウェアをロードしたUSBを駐車場に落とし、従業員がそれを見つけて使用するのを待つ場合など、機会のソーシャルエンジニアリング
  • 正当に見えるが実際には不正なリンクやマルウェアを含む電子メールを含む電子メールフィッシング

GDPRとGDPRの恐喝について従業員を教育することも役立ちます。 GDPRに準拠する(次に説明する)ことは骨の折れるプロセスになる可能性があるため、スタッフがその重要性について知識を持っているほど、より良い結果が得られます。

GDPRに準拠する

ハッカーによる企業の機密データへのアクセスを拒否することに加えて、EU市場でのビジネスはGDPRに準拠する必要があります。 このプロセスは労働集約的ですが、それだけの価値があります。

GDPR要件を満たすために時間と労力を費やす企業は、欧州委員会やその他の権威ある機関に対して、EU市民のプライバシー権を尊重していることを証明します。 このような取り組みにより、課せられる料金やデータ侵害によるその他の影響を最小限に抑えることができます。

コンプライアンスに取り組む正直な企業は、市場を勝ち取るのが簡単だと感じています。 米国であろうとEUであろうと、消費者は誠実さを大切にします。

グローバルな規制を満たし、透過的に運営するために全力を尽くす企業は、すぐに競争力を獲得できます。

画像:Shutterstock