Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2019/2/13)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】GDPRのデータ侵害通知レポートの解説
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・GDPRのデータ侵害通知、5.9万件を超える
・英国ICO、英EU離脱キャンペーン運営会社などに対して約1700万円の罰金を科すと発表
・バングラデシュ中央銀行が2016年のサイバー攻撃に関して関係者など提訴
・Carbonite社がエンドポイントセキュリティのWebroot社を買収
------------------------------------------------------------------------
【2】GDPRのデータ侵害通知レポートの解説
------------------------------------------------------------------------
国際的な法律事務所「DLA Piper」は、GDPRのデータ侵害通知レポートを2月6日に発表した(※1)。2018年5月25日から2019年1月28日までの8か月間に、各国当局に対して「59,430件」のGDRPデータ侵害通知数があり、「91件」の制裁金が科せられていることがわかった。なお、欧州委員会もGDRPデータ侵害通知数を発表しているが(※2)、対象とする国数は少なかった。今回は、独自の調査でより詳しい国数をカバーしているDLA Piperの数値を参照した。このレポートの要点は以下の通りである。
<GDPRデータ侵害通知レポートの要点>
・データ侵害通知数が多かった国は、トップがオランダ(15,400件)であり、ドイツ(12,600件)と英国(10,600件)が続く。
・データ侵害通知の内容には、情報流出やメール誤送信の他、個人情報管理の不備などがあった。
・制裁金が科せられた事例では、グーグル(約62億円)、ドイツでの医療データの不正公開(約1000万円)、ドイツのアプリ提供会社(約250万円)、オーストリアの不正監視カメラシステム(約60万円)が挙がっている。
・キプロスやマルタといった小規模な国でも、それぞれ4件、17件の制裁金事例が報告されている。
・同レポートでは、調査中のデータ侵害案件が未処理として多く残っているため、2019年には制裁金の事例が増えると予想している。
8か月間で5.9万件ものデータ侵害通知があったということは、1日当たり約240件の通知があった計算になる。同レポートには、日本企業に関する記載はなかったが、多くの未処理案件があることから、今後はEU域外の企業に対する制裁金の事例が増える可能性がある。
また、EUでは、GDPRだけではなく、「eプライバシー規制」の導入が検討されており、Web訪問者に対してCookie付与の同意を得ることなどが求められる。eプライバシー規制の議論は、欧州議会選挙などの影響で2019年末まで時間を要する見込みで、施行時期は2021年末以降になると予想されている(※3)。
世界には、GDPR以外にも、海外と取引のある日本企業が対応すべき法制度が多数ある。例えば、インドではGDPRをモデルとする個人情報保護法案が議論されており、インドに拠点を置く企業や取引のある企業は対応を求められる可能性がある。今後も、海外の法規制動向について注視し、皆様に最新の情報をお伝えしたい。
(※1)https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/
(※2)https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
(※3)https://www.lexology.com/library/detail.aspx?g=23653861-8a4e-4cff-9550-717594099922
------------------------------------------------------------------------
【3】海外政策動向一覧(2019年2月1日~2019年2月8日)
------------------------------------------------------------------------
2019年2月1日 英国ICO、英EU離脱キャンペーン運営会社などに対して約1700万円の罰金を科すと発表
英国の情報コミッショナーオフィス(ICO)は、Eldon Insurance社の顧客情報を不正に使用して、英EU離脱(Brexit)キャンペーンに関する政治的なメッセージを送ったとして、キャンペーン運営会社とEldon Insurance社に合計で約1700万円の罰金を科すと発表した。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/02/ico-to-audit-data-protection-practices-at-leaveeu-and-eldon-insurance-after-fining-both-companies-for-unlawful-marketing-messages/
2019年2月5日 カナダの仮想通貨取引所、約150億円分引き出せず
カナダ最大級の仮想通貨取引所「クアドリガCX」で、約150億円分の顧客の預かり仮想通貨が引き出せなくなった。2018年12月に急死したCEO創業者だけが仮想通貨を引き出すために必要なパスワードを管理していた。
https://edition.cnn.com/2019/02/05/tech/quadriga-gerald-cotten-cryptocurrency/index.html
2019年2月6日 バングラデシュ中央銀行が2016年のサイバー攻撃に関して関係者など提訴
バングラデシュ中央銀行が2016年にサイバー攻撃の被害に遭い、約90億円をフィリピンの銀行に送金・資金洗浄されていた事件に関して、バングラデシュ中央銀行が事件の関係者を提訴したと主要メディアが報じた。
https://www3.nhk.or.jp/news/html/20190206/k10011805411000.html
2019年2月6日 ENISA、CSIRTとインシデント対応能力に関するレポートを公開
欧州ネットワーク情報セキュリティ庁(ENISA)は、2025年に向けた欧州におけるCSIRTとインシデント対応能力の向上のためのレポートを公開した。
https://www.enisa.europa.eu/publications/study-on-csirt-landscape-and-ir-capabilities-in-europe-2025
2019年2月8日 独当局がFacebookのデータ収集に対して大幅制限を命令
ドイツの連邦カルテル庁は、Facebookに対し、利用者のデータ収集を大幅に制限するよう命じた。利用者の同意なしで、傘下や外部のサービスにある利用者のデータを統合することなどを禁じる。
https://www.nikkei.com/article/DGKKZO4103700007022019FF2000/
------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
2月1日 フランス通信会社Orange社が英国のSecureData社を買収
2月4日 IPKeys Power Partners社が自動化技術を持つSigmaFlow社を買収
2月6日 HelpSystems社がSecureAuth社からセキュリティ事業を買収
2月7日 Haven Cyber Technologies社がスウェーデンのOnevinn社を買収
2月7日 クラウドセキュリティのCarbonite社がエンドポイントセキュリティのWebroot社を買収