欧州データ保護委員会 (EDPB) ガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0
こんにちは、丸山満彦です。
欧州データ保護委員会 (EDPB) が2021年12月14日に採択されたガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0を公開していますね。。。
このガイドラインは、GDPR施行後の監督官庁が得た経験を基に、第29条作業部会 (WP29) の「規則2016/679に基づく個人データ侵害通知に関するガイドライン」(WP250)を補完するものですね。。。
- データ管理者がデータ侵害にどのように対処するか
- リスク評価の際にどのような要因を考慮すべきか
を決定する際に役立つような、事例に基づく実践的なガイダンスとなっていますね。。。
このガイドラインでは、様々なデータ侵害例を、
- 事前のセキュリティ対策の例
- 侵害をどのように評価するか、
と共に、
- 緩和策
- GDPRに基づく報告義務
の両方の観点から、侵害にどのように対応するかについて例示していますね。
事例は、次の6つのカテゴリーに、
- ランサムウェア
- データ流出攻撃
- 内部の人的リスク要因
- デバイスおよび紙文書の紛失または盗難
- 郵送ミス
- その他の事例 - ソーシャルエンジニアリング
18の事例を紹介していますね。。。
● European Data Protection Board: EDPB
・2022.01.03 Guidelines 01/2021 on Examples regarding Personal Data Breach Notification
・[PDF]
| 1 INTRODUCTION | 1 初めに |
| 2 RANSOMWARE | 2 ランサムウェア |
| 2.1 CASE No. 01: Ransomware with proper backup and without exfiltration | 2.1 事例01:適切なバックアップがあり、流出しないランサムウェア |
| 2.2 CASE No. 02: Ransomware without proper backup | 2.2 事例02:適切なバックアップがないランサムウェア |
| 2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital | 2.3 事例03:病院内でのバックアップあり、流出なしのランサムウェア |
| 2.4 CASE No. 04: Ransomware without backup and with exfiltration | 2.4 事例04:バックアップなし、流出ありのランサムウェア |
| 2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks | 2.5 ランサムウェア攻撃の影響を防止/緩和するための組織的/技術的対策 |
| 3 Data Exfiltration ATTACKS | 3 データ流出攻撃 |
| 3.1 CASE No. 05: Exfiltration of job application data from a website | 3.1 事例05:ウェブサイトからの求人応募データの流出 |
| 3.2 CASE No. 06: Exfiltration of hashed password from a website | 3.2 事例06:Web サイトからのハッシュ化されたパスワードの流出 |
| 3.3 CASE No. 07: Credential stuffing attack on a banking website | 3.3 事例07:銀行サイトへのクレデンシャルスタッフィング攻撃 |
| 3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks | 3.4 ハッカー攻撃の影響を防止/緩和するための組織的/技術的対策 |
| 4 INTERNAL HUMAN RISK SOURCE | 4 内部の人的リスク要因 |
| 4.1 CASE No. 08: Exfiltration of business data by an employee | 4.1 事例08:従業員による業務データの流出 |
| 4.2 CASE No. 09: Accidental transmission of data to a trusted third party | 4.2 事例09:信頼できる第三者への誤ったデータ送信 |
| 4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources |
4.3 内部の人的リスク要因の影響を防止/緩和するための組織的/技術的対策 |
| 5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS | 5 デバイスおよび紙文書の紛失または盗難 |
| 5.1 CASE No. 10: Stolen material storing encrypted personal data | 5.1 事例10:暗号化された個人データを保存した資料の盗難 |
| 5.2 CASE No. 11: Stolen material storing non-encrypted personal data | 5.2 事例11:暗号化されていない個人情報を保管している盗難物 |
| 5.3 CASE No. 12: Stolen paper files with sensitive data | 5.3 事例12:センシティブなデータを含む紙のファイルの盗難 |
| 5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices | 5.4 デバイスの紛失または盗難の影響を防止/軽減するための組織的/技術的措置 |
| 6 MISPOSTAL | 6 郵送ミス |
| 6.1 CASE No. 13: Postal mail mistake | 6.1 事例13:郵便物の間違い |
| 6.2 CASE No. 14: Highly confidential personal data sent by mail by mistake | 6.2 事例14:ミスによる機密性の高い個人情報の送信 |
| 6.3 CASE No. 15: Personal data sent by mail by mistake | 6.3 事例15:ミスによる個人情報の送信 |
| 6.4 CASE No. 16: Postal mail mistake | 6.4 事例16:郵便物の誤送信 |
| 6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal | 6.5 誤配の影響を防止/緩和するための組織的/技術的対策 |
| 7 Other Cases – Social Engineering | 7 その他の事例 - ソーシャルエンジニアリング |
| 7.1 CASE No. 17: Identity theft | 7.1 事例17 - ID窃盗 |
| 7.2 CASE No. 18: Email exfiltration | 7.2 事例18:電子メール漏えい |
Comments