プロホスト > ブログ > 行政 > GDPR が個人データ漏洩を引き起こした経緯

GDPR が個人データ漏洩を引き起こした経緯

GDPR は、EU 国民が自分の個人データをより詳細に管理できるようにするために作成されました。 そして、苦情の数という点では、目標は「達成」されました。過去 XNUMX 年間で、ヨーロッパ人は企業による違反をより頻繁に報告し始め、企業自体は 多くの規制 そして罰金を科されないように、すぐに脆弱性を解消し始めました。 しかし、GDPR は金融制裁を回避する場合、またはGDPR に従う必要性そのものの場合に最も顕著で効果的であることが「突然」判明しました。 さらに、個人データ漏洩に終止符を打つことを目的とした最新の規制がその原因となります。

ここで何が起こっているのかお話ししましょう。

GDPR が個人データ漏洩を引き起こした経緯
Фото— ダーン・ムーイ — アンスプラッシュ

何が問題ですか

GDPR に基づき、EU 国民は企業のサーバーに保存されている個人データのコピーを要求する権利を有します。 最近、このメカニズムを使用して他人の PD を収集できることが知られるようになりました。 Black Hat カンファレンスの参加者の XNUMX 人 実験を行った、その間、彼はさまざまな企業から婚約者の個人データを含むアーカイブを受け取りました。 彼は彼女に代わって関連する要求を 150 の組織に送信しました。 興味深いことに、24% の企業は身元証明として電子メール アドレスと電話番号のみを必要としており、それらを受け取った後、ファイルを含むアーカイブを返送しました。 約 16% の組織がさらにパスポート (またはその他の書類) の写真を要求しました。

その結果、ジェームズさんは「被害者」の社会保障番号、クレジットカード番号、生年月日、旧姓、住所を入手することができた。 メールアドレスが漏洩していないか確認できるサービス(サービス例としては、 私はポーンされてしまったのでしょうか?)、以前に使用された認証データのリストも送信されました。 ユーザーがパスワードを変更したことがない場合、またはパスワードを他の場所で使用した場合、この情報はハッキングにつながる可能性があります。

データが「誤って」送信されてしまい、間違った人の手に渡った例は他にもあります。 それで、XNUMXか月前、Redditユーザーの一人が 要求された Epic Games からのあなた自身に関する個人情報。 しかし、彼女は誤って彼の PD を別のプレイヤーに送信してしまいました。 似たような話が昨年もありました。 アマゾンクライアント 偶然受け取りました Alexa へのインターネット リクエストと別のユーザーの数千の WAF ファイルを含む 100 メガバイトのアーカイブ。

GDPR が個人データ漏洩を引き起こした経緯
Фото— トム・ソドゲ — アンスプラッシュ

専門家らは、このような状況が発生する主な理由の20つは、一般データ保護規則の不完全さであると述べている。 特に、GDPR では、企業がユーザーのリクエストに応答しなければならない期間 (4 か月以内) が指定されており、この要件に従わなかった場合には最大 XNUMX 万ユーロまたは年間収益の XNUMX% の罰金が規定されています。 ただし、企業が法律を遵守するのに役立つ実際の手順 (たとえば、データが所有者に確実に送信されるようにするなど) は、この法律には規定されていません。 したがって、組織は独自に (時には試行錯誤しながら) 作業プロセスを構築する必要があります。

どうすれば状況を改善できますか?

最も急進的な提案の XNUMX つは、GDPR を放棄するか、根本的に作り直すことです。 この法律は現在の形では機能しないという意見があります。 複雑な 厳しすぎるため、すべての要件を満たすには多額の費用を費やす必要があります。

たとえば、昨年、ゲーム「スーパー マンデー ナイト コンバット」の開発者はプロジェクトのキャンセルを余儀なくされました。 作成者によると、GDPR に合わせてシステムを再設計するのに必要な予算 予算を超えました、XNUMX歳のゲームに割り当てられています。

「中小企業には、規制当局の要件を理解し、必要な準備を行うための技術的リソースと人的リソースがないことがよくあります」と、IaaS プロバイダーの開発部門責任者である Sergey Belkin 氏はコメントしています。 1cloud.ru。 「ここで大手ベンダーや IaaS プロバイダーが助けになり、安全な IT インフラストラクチャをレンタルで提供します。 たとえば、1cloud.ru では機器をデータセンターに配置しています。 認証済み Tier III 基準に準拠し、クライアントがロシア連邦法-152「個人データについて」の要件を遵守できるように支援します。

GDPR が個人データ漏洩を引き起こした経緯
Фото— クロマトグラフ — アンスプラッシュ

ここでの問題は法律自体にあるのではなく、企業が法律の要件を形式的にのみ満たそうとすることにあるという逆の見方もあります。 Hacker News の住人の一人 彼が指摘しました: 個人データ漏洩の理由は、組織が 実装しないでください 常識に基づいた最も単純な検証メカニズム。

いずれにせよ、欧州連合は近い将来に GDPR を放棄するつもりはないため、Black Hat カンファレンスで明らかになった状況は、企業が個人データのセキュリティにもっと注意を払う動機となるはずです。

私たちがブログやソーシャル ネットワークに書いている内容は次のとおりです。

GDPR が個人データ漏洩を引き起こした経緯 766 km - LoRaWAN の新しい通信距離記録
GDPR が個人データ漏洩を引き起こした経緯 SAML 2.0 認証プロトコルを使用するのは誰ですか

GDPR が個人データ漏洩を引き起こした経緯 ビッグデータ: 大きなチャンスか大きな欺瞞か
GDPR が個人データ漏洩を引き起こした経緯 個人データ: パブリック クラウドの機能

GDPR が個人データ漏洩を引き起こした経緯 すでにシステム管理に携わっている人、またはこれからシステム管理を始めようとしている人向けの書籍を厳選しました。
GDPR が個人データ漏洩を引き起こした経緯 1cloud テクニカル サポートはどのように機能しますか?

GDPR が個人データ漏洩を引き起こした経緯
1モスクワのクラウドインフラストラクチャ あり データスペース内。 これは、Uptime Institute の Tier III 認定に合格した最初のロシアのデータセンターです。

出所: habr.com

コメントを追加します