この1週間は、EUに住んでいるかどうかにかかわらず、あなたとあなたの個人情報にとって重要でした。
GDPR(EU市民の個人情報の収集および処理方法に関するガイドラインを設定する一般データ保護規則)が公式になりました。 これは素晴らしいアイデアです。情報の収集方法、保存方法、および回収方法についての統一されたルールは、長らく待ち望まれていました。 GDPRの良い点、悪い点、い点について多くの議論があります(そしてこれからも続きます)が、情報セキュリティで働くほとんどの人は、目標が善意であり、私たち全員が必要とする種類の保護を提供することに同意します21世紀。
GDPRに準拠していないため、ヨーロッパの訪問者は人気のあるWebサイトを利用できません。
ただし、GDPRの個々の記事はそれほど広く賞賛されているわけではありません。 5月25日金曜日に発効しましたが、すでにフォールアウトが発生しています:New York Daily News、Chicago Tribune、LA Timesおよびその他の有名なWebサイトは、GDPR規制の対象国では新しいルールの準備ができていないため、現在利用できません。 他の多くのウェブサイトやオンラインサービスは、同意する新しい条件でユーザーを攻撃しました。また、ユーザーがデータ収集をオプトアウトすることを許可せずに無料のサービスを提供しないため、著名な技術大手のGoogleやFacebookに対して苦情が既に提出されています。
詳細:Googleが収集するユーザーデータの理解と管理を容易にします{.cta.large}
このような問題は驚くことではありません。 GDPRの結果としてクラウドベースのサービスが収益を失い、価格を引き上げざるを得ないという感情もありません。InfosecurityEurope 2018の参加者の半数はまもなく起こると考えています。 彼らはまた、小さな組織ではコンプライアンスに必要なインフラストラクチャを購入する余裕がないため、GDPRがイノベーションを抑制すると感じています。 これは議論する必要のある人々による良い議論です。 より良いプライバシーは、それを正しくするために何度も何度も必要な価値があります。
しかし、GDPRには、利益よりも害をもたらすと思われる部分が1つあります。第33条の72時間の報告ルールです。 ここで全文を読むことができますが、その要点は、EU市民の個人識別を保持する会社が、理由に関係なく、セキュリティ違反に対して全責任を負い、72時間以内に監督委員会に完全な開示を提供しなければならないということです違反の。 このルールについて素晴らしいことは何もありませんが、2つの部分は、サービスプロバイダーがデータ侵害を責任を持って報告するのではなく、それをカバーすることにつながります。
最初は監督委員会です。 国によって市民の統治方法は異なりますが、共通することの1つは、公式委員会の作成と人員配置に関する優遇措置です。 友人の友人、または配布物を求めるのをやめることができないその3番目のいとこは、委員会の議席の主要な候補者であり、主な目標がユーザーデータを保護する場合、最も有能な個人のみが考慮されるべきです。 これがまさにここで行われ、心から最高の利益を持ち、資格のある人々が規制を調整および施行できることを願っています。
完全な違反調査を行うために必要なリソースのない中小企業は、それらを隠蔽することを選択できます。
大きな問題は、72時間の強制報告です。 フォーチュン500のフルスタッフの組織でさえ、政府機関にレポートを提出するのに十分なデータ侵害について知ることはできません。 このような短い時間を考えると、企業の情報セキュリティ担当者が違反があり、詳細についてはまだわからないと言っていることを期待してください。 それは関係するすべての人にとって時間の無駄に過ぎません。私はその時間を、あらゆる種類のデータ侵害を取り巻く理由、方法、時期、および誰を見つけるために費やしたいと思います。
すでにGDPRコンプライアンスを満たすのに苦労している可能性のある小規模な会社は、違反を封じ込め、報告なしに独自に損害を軽減できるかどうかを調査しようとするでしょう。 プレッシャーにさらされ、人員が不足している場合、隠蔽は適切なオプションのように聞こえます。
明らかに、そうではありません。 しかし、大小の企業は、最終的に間違ったオプションを何度も選択することが知られています。 不適切な決定を下す企業からユーザーを保護するために設計された規制は、ユーザーにそれを強制するようなルールがなければ、より優れています。
データ盗難の責任ある迅速な報告は必須です。 データを収集して保持する企業に正しいことを強いることは、それなしではあまり役に立ちません。 侵入者の扱い方を修正するための適切な人員で満たされた適切な監視委員会を作成するか、または発生時に支援を提供することでさえ、GDPRを世界の他の人々が従うためのテンプレートにするのに大いに役立ちます。
