SOMPO CYBER SECURITY
GDPRはGeneral Data Protection Regulationの略であり、EU一般データ保護規則と訳されます。
2018年から施行されている、EUにおける個人データおよびプライバシーの保護について規定した法です。EU域内の個人に関するデータ・プライバシーを取り扱う際には、事業者などにGDPRの遵守が要求されます。
GDPRは、EU市民の個人情報を取り扱うすべての組織体に適用されるものであり、また法令に違反した場合の罰金は非常に高額です。
GDPRが掲げるデータ保護原則は以下の7つです。
GDPRはEU域内で適用される法律であるため、米国企業がEU域内で活動するためには、GDPRを遵守することが要求されます。GDPRを遵守する米国企業に対し、EU市民の個人情報処理を許可するフレームワークとして、プライバシーシールドが運用されてきました。プライバシーシールドは、米国商務省による監督の下、各企業が自己調査を行い、GDPRに沿ったセキュリティ対策を講じているという認証を得る制度です。
しかし、米国政府情報機関による大規模監視がエドワード・スノーデンの告発によって顕在化した後、2020年、欧州司法裁判所は、プライバシーシールドがGDPR不適合であるとの判決を下しました。
この決定を受けて、現在、EUと米国との間で新たなプライバシー保護フレームワークとしてEU-米国データプライバシーフレームワークの制定が進められています。この新たなフレームワークの主眼は、米国企業に要求するセキュリティ対策の厳格化と、米国当局による情報収集の規制です。
GDPRの基礎となった個人情報保護の考え方に、OECD(Organisation for Economic Co-operation and Development、「経済協力開発機構」)が制定したプライバシーガイドラインがあります。個人情報の適切な取り扱いを求める8つの原則は以下のとおりです。
CODE BLUE 2023 参加レポート その1はこちら 2023年11月8日~9日にかけて、情報セキュリティに関する国際会議であるCODE BLUE 2023が開催されました。会議には駐日ウクライナ大使セルギー・コルスンスキー氏やセキュリティ専門家ミッコ・ヒッポネン氏を始めとする様々なスピーカーが登壇した他、コンテストやワークショップも行われました。参加レポートその2は、2日目に当社メンバーで...
・ アイランドホッピング攻撃(Island Hopping Attack)は、軍事における飛び石作戦に由来する攻撃手法です。現在普及しているアイランドホッピング攻撃の一般的な定義は、脆弱な関連会社やパートナーを侵害し、本来のターゲットに移行するサプライチェーン攻撃に似た意味で用いられています。 .scope_blog .cover { margin: 80px auto 18px!importan...
・ アカウント乗っ取り(Account Take Over、ATO)は、金融サービスやSNS、Webアプリ等のアカウントを不正に乗っ取ることで、詐欺や金銭窃取を含む様々な悪意ある活動を実行する行為です。 個人の口座アカウントやWebサービスから、企業や著名人のSNSアカウントまで、乗っ取りの対象は様々です。 ターゲットのアカウントを乗っ取る手段としては、フィッシングやソーシャルエンジニアリング、ビ...
・ アクセシビリティ・サービス(Accessibility Service)は、障害を持つユーザーが快適に情報端末デバイスを利用するために、プラットフォーム企業が開発しているサービスです。 例えば、視覚障害、運動障害、聴覚障害のためにアクセスできないウェブページやアプリケーションを、スクリーンリーダー、音声ベースの入力システム、点字ベースのアクセスシステム、スイッチベースの入力システムなどでアクセ...