欧州データ保護委員会 パブコメ データ漏えいの通知に関する事例ガイドライン
こんにちは、丸山満彦です。
欧州データ保護委員会が「データ漏えいの通知に関する事例ガイドライン (Guidelines 01/2021 on Examples regarding Data Breach Notification) 」の意見募集をしていますね。2021.03.02までです。。。
[PDF] Guidelines on Personal data breach notification under Regulation 2016/679, WP 250を補足するガイドラインという感じですね。。。
● Europian Data Protection Board
・2021.01.18 (news) EDPB adopts Guidelines on examples regarding data breach notification
・(public consultation) Guidelines 01/2021 on Examples regarding Data Breach Notification
ガイドラインはこちら・・・
ガイドライン案目次です。。。
1 Introduction | 1 はじめに |
2 RANSOMWARE | 2 ランサムウェア |
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration | 2.1 CASE No.01: 適切なバックアップがあるが、駆除していないランサムウェアの場合 |
2.2 CASE No. 02: Ransomware without proper backup | 2.2 CASE No.02:適切なバックアップがないランサムウェアの場合 |
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital | 2.3 CASE No.03:バックアップがあるが、病院内での駆除をしていないランサムウェアの場合 |
2.4 CASE No. 04: Ransomware without backup and with exfiltration | 2.4 CASE No.04: バックアップがないが、駆除したランサムウェアの場合 |
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks | 2.5 ランサムウェア攻撃の防止・影響軽減のための組織的・技術的対策 |
3 Data Exfiltration ATTACKS | 3 データ流出攻撃 |
3.1 CASE No. 05: Exfiltration of job application data from a website | 3.1 CASE No.05:Webサイトからの求人応募データの流出 |
3.2 CASE No. 06: Exfiltration of hashed password from a website | 3.2 CASE No.06: Webサイトからのハッシュ化されたパスワードの漏えい |
3.3 CASE No. 07: Credential stuffing attack on a banking website | 3.3 CASE No.07: 銀行Webサイトのクレデンシャルスタッフィング攻撃 |
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks. | 3.4 ハッカー攻撃の影響を防止・軽減するための組織的・技術的対策 |
4 INTERNAL HUMAN RISK SOURCE | 4 内部人的リスク |
4.1 CASE No. 08: Exfiltration of business data by a former employee | 4.1 CASE No.08:元従業員による業務データの漏えい |
4.2 CASE No. 09: Accidental transmission of data to a trusted third party | 4.2 CASE No.09:信頼できる第三者へのデータ送信事故 |
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources | 4.3 内部の人的リスク源の影響を防止・軽減するための組織的・技術的対策 |
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS | 5 機器、紙の文書の紛失または盗難 |
5.1 CASE No. 10: Stolen material storing encrypted personal data | 5.1 CASE No.10:暗号化された個人データを保存している機器等の盗難 |
5.2 CASE No. 11: Stolen material storing non-encrypted personal data | 5.2 CASE No.11:暗号化されていない個人データが保存されている機器等の盗難 |
5.3 CASE No. 12: Stolen paper files with sensitive data | 5.3 CASE No.12:機密データの入った紙ファイルの盗難 |
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices | 5.4 機器の紛失・盗難による影響を防止・軽減するための組織的・技術的対策 |
6 MISPOSTAL | 6 郵送ミス |
6.1 CASE No. 13: Snail mail mistake | 6.1 CASE No.13:郵送ミス |
6.2 CASE No. 14: Sensitive personal data sent by mail by mistake | 6.2 CASE No.14:機密性の高い個人情報を誤って郵送してしまった場合 |
6.3 CASE No. 15: Personal data sent by mail by mistake | 6.3 CASE No.15:個人情報を誤って郵送してした場合 |
6.4 CASE No. 16: Snail mail mistake | 6.4 CASE No.16:郵送ミス |
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal | 6.5 郵送ミスの影響を防止・緩和するための組織的・技術的対策 |
7 Other Cases – Social Engineering | 7 その他事例 - ソーシャルエンジニアリング |
7.1 CASE No. 17: Identity theft | 7.1 CASE No.17:ID窃盗 |
7.2 CASE No. 18: Email exfiltration | 7.2 CASE No.18:電子メールの流出 |
■ 参考
● Europian Data Protection Board
・2018.08.20 Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
・[PDF] Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
« 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは | Main | ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集 »
Comments