kharukaのブログ~お金と技術とキャリア~

Edu Fin~金融×教育~若いうちからお金について学ぶってだいじ!学んだテクノロジーはみんなの財産。過去、現在、将来の人生についてのブログ

【サイバーセキュリティ】GDPR ガイドブック 第1章(2018年10月6日更新)

GDPRガイドブック EU一般データ保護規則 活用法

GDPRガイドブック EU一般データ保護規則 活用法

第1章 GDPRの背景にあるビジネス環境の変化

悪意あるものは境界を狙う

そして、このITシステムに影響を与えようとする悪意ある者は、まずこの境界から狙ってくることが多い。いや、むしろ悪意ある者なら境界から狙うべきなのだ。

ハッカー脆弱性という穴(境界)を狙ってきます。

セキュリティに関するソフトウェアアップデートなどは必ず行いましょう。

また、macOSだからセキュリティソフトは必要ないなんて都市伝説レベルの話ですよ。笑

私がハッカーならスタバなどの Free Wi-Fi を利用しているmacユーザーをまず標的にします。

データ自体に価値がある時代

いまや、データ自体に価値があるのだ。

ポ◯モンGOのキャラクターコンプリートアカウントが、メ◯カリで出品されていたなんて話聞いたことありませんかね?

サプライチェーンリスク

悪意ある者は、より容易に侵入できる入り口を探すだけ。

サプライチェーンを構成している中に、容易に侵入できる会社が一社でもあれば、それはサプライチェーン全体にとっての脅威と同等である。そして、このことを「サプライチェーンリスク」と呼ぶ。

例え自社のセキュリティレベルが最高ランクであっても、外部委託業者のセキュリティ対策が不十分だと、そこから情報漏洩します。

外部委託業者の選別も慎重に行わなければなりませんね。

外部に委託する、これも境界になるということです。

SIerに頼るのではなく、自社開発した方が境界を減らせる(セキュアな)上に委託の際に発生する無駄な大量のドキュメント(時間と費用と人的リソースのコスト)も減らせます。

ビジネス上のモチベーション

サイバーセキュリティ経営ガイドラインの改訂に合わせたかの様に

日本年金機構の委託先業者から情報漏洩があり話題となりましたね。

茶番ですね。でも、私たちは被害者に当たるので笑えない。

このガイドラインでは、適切な開示を行なわなかった場合、社会的責任の観点から「信頼の失墜」や「企業価値が大きく低下」する恐れがあるとしており、取り組みを情報セキュリティ報告書、CSR報告書、サステナビリティレポートや有価証券報告書等への記載を通じて開示を検討すること対策例として揚げている。

当然ですよね?

国民の大切な個人情報を漏洩した日本年金機構を信用出来ますか?

お金預けられますか?

株式上場企業も同様です。その企業がガイドラインに沿った対策をしないのであれば、投資対象としてリスクが高すぎます。

企業は顧客の信頼を得るため、株価の適切な水準維持または上昇を図るため、つまりは株主に還元出来る経営をしなければならないのです。

GDPRに則って企業価値を高めましょう!

▼記事の続きは以下へ。

kharuka2016.hatenablog.com

参考

  • GDPR ガイドブック

GDPRガイドブック EU一般データ保護規則 活用法

GDPRガイドブック EU一般データ保護規則 活用法

  • Information Commissioner's Office

https://www.ppc.go.jp/files/pdf/260318siryo3-1.pdf

  • Belgian Privacy Protection Commission

https://iapp.org/news/a/belgian-privacy-commission-becomes-dpa/