サッカー選手や大統領も被害に
公的なサービス、ショッピング、ビジネス……今日では、さまざまなところで、オンライン上に個人情報を入力することがある。一方、サイバー犯罪をはたらく人たちからすれば、それらは格好の標的ともいえる。
2021年10月、アルゼンチン国民のIDカードの情報が、情報を管理する内務省の機関から盗み出されたと報道された。政府が国民の個人情報を照会する際に利用していたものだが、ハッカーが不正にアクセスし、複数人の情報がSNS上で公開されたという。
情報を公開された人の中には、サッカー選手のリオネル・メッシなどの有名人や、アルベルト・フェルナンデス大統領などの要人も含まれており、内務省は刑事告訴に踏み切っている(El Renaper detecto el uso indebido de una clave otorgada a un organismo publico y formalizo una denuncia penal | Argentina.gob.ar)。
この事件では、パスワードを利用して不正アクセスされたため、ハッカーがデータベースそのものに侵入したり、すべてのデータがそのまま流出したりしたものではないとされている。
データの流出は、個人で気をつけていても、機関や、企業などのミスなどで起こりうるものだ。そう考えると、個人でできることはないのでは……と考えてしまうかもしれない。
しかし、ネット上でまったく個人情報を入力しないというのも、今日ではあまり現実的ではない。個人情報を取り扱う際に、プライバシーを守る意識を持ち、リスクに気をつけることは、現代社会では必須の意識といえる。
流出した際のことも考える
多くの人の在宅生活が続いている情勢もあり、「オンライン」になることが増えている昨今。個人情報の流出にそなえて、何ができるだろうか。
まず控えたいのは、パスワードの使い回しだ。パスワードが流出してしまった場合、ほかのサービスでも同じものを使い回していると、それらに不正アクセスされてしまう可能性がある。
ログインの際に、パスワードだけでなく電話番号(SMS)などによる本人確認が必要になる「2段階認証」(ログイン認証)も設定しておくべきだろう。パスワードが知られてしまった場合でも、不正アクセスされる可能性を低くできる。
流出に気付くという点では、自分のオンラインアカウントを、日頃からチェックしておくことも重要。不審な履歴を見つけた場合は、パスワードを変更したり、プライバシー設定を更新したりと、措置を講じたい。
SNSを利用する際に、設定が維持されているかどうかチェックしておくという手もある。変更がないかどうかチェックするようにしておけば、異変が起きたときに気づきやすい。
前提として、スマートフォンやPCに、信頼のおけるセキュリティソフトをインストールしておくのは基本。アプリをダウンロードしたあとも、そのままにせず、アップデートを忘れないこともあわせて意識しよう。
最新の国際的なセキュリティ事情を知るために、今回は、McAfee Blogの「PIPL-中国の個人情報保護法(11月1日施行)と企業に求められる対策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
PIPL-中国の個人情報保護法(11月1日施行)と企業に求められる対策:McAfee Blog
GDPR(General Data Protection Regulation)について、ご存知の方も多いと思います。EU全域で2018年5月から適用された法律です。企業が実施する個人情報保護の方法、特に個人情報の処理方法を規制し、個人情報保護を個人がより細かくコントロールし行使する権限を付与することを目的としています。
GDPRは、データの保存場所、使用方法、保持期限、また、それを個人へ報告する方法、データの訂正依頼や削除依頼に関して、企業が理解するためのプロセスを導入するよう、企業に対して要求したフレームワークです。
EU域内でビジネスを行う企業に限定して適用される法律ではありません。これは、GDPRの要であるにもかかわらず、しばしば誤解されている重要なポイントです。EU居住者(市民)の情報を保管する世界中の企業がこの規則を順守する必要があり、重大な違反があれば多額の罰金が科せられます。GDPR導入以降に罰せられた上位5社だけを見ても、数億ドルの罰金が科せられました。実効性を持たせることによって、法の順守を促進させています。
GDPRの最大の成果は、EU居住者の権利の保護に限らず、世界の企業の個人情報保護に対する意識が向上し、積極的に取り組む可能性が高まるという点でしょう。GDPRが新たなグローバルスタンダードを設定し、各国の政府が検討し議論している同様の多くの施策の手本となっています。
では、PIPL(Personal Information Protection Law)についてご存知の方は、どのくらいいらっしゃるでしょうか。2021年8月、中華人民共和国の最高立法機関である全国人民代表大会の常任委員会は、2021年11月1日からこの法律を施行することを議決しました。PIPLとGDPRには、多くの類似点があります。中国国民に関連するデータを保管する場合には、世界中で適用されるということが重要なポイントです。世界中でビジネスを展開している企業が、中国籍保有者と取引を行う場合、会社の所在地や本社の所在地に関係なく、この法律が適用されます。
GDPR対策で実施しているプロセスの多くはPIPLに適用可能ですが、対象となるデータが異なります。当社のMVISION Unified Cloud Edge、MVISION Cloud、Endpoint DLP、Network DLPといったデータ保護製品を利用することで、PIPLに関連するデータの保管場所と使用方法の特定が可能になります。中国居住者のIDカード、パスポート番号、携帯電話などのデータ分類/データ識別子は、クラウドとオンプレミスで保管しているデータから特定が可能です。さらに、独自のマルチベクトルなデータ・エクスフィルトレーション保護機能(詳細をご覧ください)を用いて、本来、保存するべきではない場所に機密性の高いPIIデータを保存するといったことが起きないようにアシストします。
中国のPIIを識別(管理コンソールの画面):
個別の製品でビジネスを「PIPL準拠」にすることはできませんが、当社の製品Data Protection Suiteは、目標達成を支援する重要なツールボックスの一部を担うと言えます。PIPLの導入以前から、長期にわたりこの機能を実装していたという事実は、GartnerがMVISION CloudをCASB Magic Quadrantのマーケットリーダーに選んだ理由、そしてForresterがForrester Wave Unstructured Data Security Platformsのリーダーに選んだ理由を示すデータポイントと言えます。
11月まで残すところわずかとなりました。PIPLの対策についてまだご検討されていない場合は、優先的な対応が必要です。当社の中国版PII分類をテストして、有効にすることをご検討ください。もし、この機能を提供していない他のベンダーの製品をお使いの場合は、当社のMVISION Unified Cloud Edgeソリューションが、すでにほとんどの企業が実施しているクラウドファーストのデジタルトランスフォーメーションのみならず、この課題に対してご提供できる解決策について、ぜひご確認下さい。
※本ページの内容は2021年10月14日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: China Personal Information Protection Law (PIPL): A New Take on GDPR?
著者:Graham Clarke
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト