ランサムウェア増加と個人情報保護規制の皮肉な関係
NTTドコモと銀行の提携サービスであるドコモ口座による不正引き出し事件を受けて、昨日のブログに「セキュリティ不備企業に罰金と刑事罰を」を書きました。
今日たまたまZDNet Japanの記事「2020年はランサムウェア攻撃が急増」が目につき読んでみました。記事によれば、ある研究者のデータによれば、今年に入ってランサムウェア攻撃がふえてきて、その数が2019年の7倍にも上るとか。
あ、ランサムウェアというのは、ユーザの中に入り込んでデータを人質に押さえて、金銭を要求するソフトのことです。つまりデータ人質による、データ身代金要求事件です。
日本企業は、不祥事を隠蔽する傾向が強いので、そのまま身代金を払ってしまうことも多いのではないでしょうか。
このことはもちろん大きな問題なのですが、記事中で気になった部分はほかにあります。
企業が身代金を払わないときに、犯人は盗んだデータを公開します。これが見せしめになるのです。というのも、『身代金を払わなかった組織はデータを開示され、GDPR(欧州連合の一般データ保護規則)の罰金を支払う羽目になるからだ』そうです。
意味がわかりますか?わかる人はITや個人情報保護の現状にかなり詳しい方でしょう。簡単に説明しましょう。(偉そうですみません)
GDPR(General Data Protection Regulation:EU一般データ保護規則)というのは、企業などの組織が個人情報などをきちんと管理しないと制裁金を課すぞというものです。EUの個人主義の面目躍如ともいえますが、二つの特徴があります。一つは適用範囲が広いこと、もう一つが制裁金(ようするに罰金)がめちゃ高いということです。
日本では個人情報が盗まれたりしたとき、それは子会社や委託した企業の責任です、といういいわけをすることが多々あります。これが通用しません。委託先がまともかどうかきちんと管理監督していたかが問われるのです。安い中国企業に丸投げして問題を起こした、日本の組織など論外といえますね。
そして、もし組織がきちんとしていないとなったときには、最大でとられるのは次の金額です。
最大20,000,000ユーロ、または全世界年間売上高の4%のどちらか高い方。二千万ユーロは、今のレートで約25億円です。もし全世界での売り上げが一千億円あったら、40億円です。
ほかにもGDPRがらみの話題はたくさんありますが、話を戻しましょう。というか、これでもう、賢明な皆さんはおわかりになったことでしょう。
そうです。ランサムウェアの犯人は、GDPRの制裁金よりも身代金の方が安いですよと、脅かしてるわけです。金くれないと盗んだ個人情報を公開してしまうよ。そうしたら、GDPR違反で処罰されるよね。お宅もそうなりたいの?というわけです。
いやはや、個人を守る法律が、犯罪者に結果として加担する形になってしまう。情報文明時代とは、一筋縄ではいかない時代ですね。
ついでなので、日本の話。日本ではGDPRに相当するのが、個人情報保護法です。3年ごとに見直すことになっており、今年も改正されました。罰金がようやく1億円にまで引き上げられました。ただ、この法律、本当に消費者のためというよりも、GDPR対策として経団連が強く押したのです。彼らの多くは、ユーザより自分たちの保身第一なのです。詳しくは、ネットで検索してみてください。
こういう話題をテレビが取り上げないのは、視聴率が稼げないからですね。視聴者はなぜ見ないのでしょうか?日本人が馬鹿になってきたからですね。それは次のブログで、取り上げましょう。
令和2年9月11日(金)