クレイトン・ウッツのサイバーパートナー、ブレントン・スティーンカンプ氏は、これまで数多くのサイバー攻撃を経験してきました。アムステルダムでの7年間の勤務を終え、10月にオーストラリアに帰国したスティーンカンプ氏は、ヨーロッパで発生した複数の大規模ランサムウェア攻撃への対処経験と、そこから得たデータガバナンスの教訓を本国に持ち帰りました。
スティーンカンプ氏は、オーストラリアの多くの組織が、将来のデータガバナンスに必要となるデータ資産に関するリスクの「パラダイムシフト」の視点をまだ取り入れていないと指摘し、間もなく、新たな世界的な規制措置の波がオーストラリア各地に押し寄せると、オーストラリアのCISOが規制の標的になる可能性があると述べた。
彼は、データ記録の適切な分類、データの保持の必要性の検討、データ廃棄によるデータ量の最小化といった対策を用いて、組織がデータ資産を適切に管理することを推奨しています。また、すべてのステークホルダーを関与させることで、CISOはいつでもデータリスクのスナップショットを提示できる必要があります。
オーストラリアの組織はデータ保有のリスクに直面していない
スティーンカンプ氏は、ビッグデータ時代の幕開けとともに、組織が可能な限り多くの情報を収集したいと考えるようになったのはそれほど昔のことではないと述べた。そうすれば、マーケティングのパーソナライゼーションや販売促進など、必要なあらゆる業務に、その情報をすぐに利用できるようになる。
しかし、データ漏洩の増加を背景に、これが「新たなレベルのリスク」をもたらしているという認識が広まりつつあります。彼は、組織が銀行にどのようなデータを保有しているかを認識しておらず、コンプライアンスとプロセスが「リスクを見逃している」ことが多々あるため、何度もリスクに巻き込まれていると述べました。
参照: TechRepublic Premiumからリスク管理ポリシーをダウンロードする
同氏は、オーストラリアでは国のプライバシー原則についての認識は広まっているものの、規制措置の件数が少ないということは、最高情報セキュリティ責任者(CISO)や取締役が責任を問われるなど、組織が罰金や罰則という形で「痛みを感じていない」ことを意味しており、データのリスクが十分に考慮されていないと述べた。
OAICによるオーストラリア臨床研究所に対する訴訟
オーストラリア情報コミッショナー事務局(OAIC)がオーストラリア臨床研究所(ACL)に対して提起した訴訟は、警鐘の一つと言えるでしょう。この訴訟でOAICは、同組織がその規模に反して、個人情報を不正アクセスから保護するための適切な措置を講じず、また、適切なセキュリティ体制も整えていなかったと主張しました。
スティーンカンプ氏は、この事例は2つの問題を提起していると述べた。1つ目は、企業が保有するデータをどのように保護しているか、これはCISOの典型的な役割である。2つ目は、サイバーセキュリティの観点から、データに関連するリスクを効果的に評価し、管理することである。
組織はデータリスクの全容を理解するよう求められている
スティーンカンプ氏によると、オーストラリアの組織は、自社のデータ資産に関連するリスクについて、より深く、より包括的な評価を行う必要がある。組織が自社のデータに関連するリスクを理解しておらず、それをセキュリティと結び付けていない場合、「リスクを伴うような、異なる視点を持つことになりかねない」と同氏は述べた。
「リスク特定に関して、全く新しいアプローチが必要になるでしょう」と彼は述べた。「組織内や第三者を通して保有するデータに内在するリスク、つまり実際のリスクに同時に対処しなければ、セキュリティ体制を強化することはできません。」
そのためには、組織は一歩踏み出し、リスクとは何か、それが保有するデータにどのような影響を与えるのか、そしてそのリスクを軽減するためにどのように合理的な措置を講じることができるのかといったポリシーとプロセスを改めて見直す必要があります。これは、継続的に評価し、実施していく必要があります。
「違反を想定」の世界に存在する組織的リスク
2024年2月、米国の医療保険請求の約50%を処理する大手医療保険会社ユナイテッドヘルスがハッカーによる侵入に成功しました。同社の声明によると、身代金を支払ったにもかかわらず、「アメリカ国民の相当数」の健康データと個人データが盗まれました。
スティーンカンプ氏は、侵害の調査はまだ進行中だが、十分なセキュリティ対策を講じていたにもかかわらず、組織は侵害を受けたようだと述べた。このような状況では、リスクの観点から問われるのは「データに関して、舞台裏で何を行ったか」だ、と彼は述べた。
組織が保有データに関するより広範なリスクの側面に対処しておらず、リスクを最小限に抑え、緩和するためのデータガバナンスとセキュリティ管理を導入していない場合、ユナイテッドヘルスのハッキングは「組織の存続可能性が損なわれる可能性がある」ことを示しているとスティーンカンプ氏は述べた。
規制と執行の波がオーストラリアにまもなく到来する可能性がある
現在提案されているプライバシー法の改正が法律化されると、オーストラリアに規制強化の波が押し寄せる可能性がある。
スティーンカンプ氏は、CISOが組織のセキュリティ準備状況を偽ったり、適切な管理策を講じなかったり、問題を取締役会に報告しなかったりした場合には、過失で訴追される可能性があると述べた。
場合によっては、海外市場のセキュリティ専門家は、新たな責任により、時には直接の管理が及ばないように見える組織のデータやセキュリティの失敗の責任を負わされる可能性があることを恐れて、CISO 役職への昇進を完全に避けていると報告されています。
世界的な事例は、不十分なデータガバナンスを取り締まる動きを示している
スティーンカンプ氏は、世界市場の多くの事例がオーストラリアでもすぐに再現される可能性があると述べた。
- 米証券取引委員会は、ウーバー社の元最高財務責任者を、同社のデータリスクとセキュリティ体制に関して誤解を招き誤った印象を与え、膨大な量の運転手と顧客のデータを危険にさらしたとして訴追している。
- SECはまた、ソーラーウィンズのCISOティモシー・ブラウン氏に対しても訴訟手続きを開始し、2021年の大規模なハッキング事件後に明らかになったソーラーウィンズのサイバーセキュリティ慣行を誇張し、既知のリスクを過小評価または開示しなかったことで投資家に嘘をついたと主張している。
- Googleは最近、フランスの規制当局から2億5000万ユーロ(2億7173万米ドル)の罰金を科された。同社はフランスの出版社の同意なしに収集したデータについて虚偽の説明をしていたことが判明した。GoogleはこれらのデータをAIモデルの学習に使用していた。
「これは深刻な警鐘だと思います」とスティーンカンプ氏は述べた。「世界中で、アメリカだけでなく、欧州、特に欧州本土とアイルランドの規制当局の間でも、データに関する問題全体に対して強硬な姿勢を取る傾向があります」と彼は述べた。
組織は「合理的なテスト」に合格する必要がある
オーストラリア証券投資委員会は、データ漏洩が発生した場合、サイバー攻撃に対する備えが不十分な企業の取締役や幹部を法的措置で追及し、模範を示すつもりであることを明らかにした。
スティーンカンプ氏は、最終的には「合理的な基準」こそがオーストラリアの組織が満たすべき基準となると述べた。これは、組織が直面するデータリスク環境の具体的な性質を理解し、データを保護するための適切な対策を講じているか、あるいは特定されたセキュリティ上のギャップに対処するための行動を起こしていることを要求する。
組織がデータリスクをより適切に管理するのに役立つ実践的な手順
ITおよびセキュリティ責任者がデータリスクをより適切に管理するために実行できる実践的なステップがあります。スティーンカンプ氏は、データに関しては「少ないほど良い」と述べ、保有するデータを把握し、分類し、必要なデータだけを必要な期間だけ保持するという継続的なプロセスが優先事項であるとしています。
この点は、メディバンクとオプタス両社における大規模なデータ侵害事件を受けて現在提起されている集団訴訟の主旨からも明らかです。これらの訴訟は、第一に、データ保護のための適切なセキュリティ管理体制が整っていたかどうか、第二に、組織がそもそもそのデータを必要としていたかどうかという点を争点としています。
スティーンカンプ氏は、組織は次のようなステップを優先すべきだと推奨した。
データの分類と保存期間を向上
組織は、保有するデータ記録全体を監査・分類し、データの保持と廃棄に関する実用的なガイドラインを策定する必要があります。スティーンカンプ氏は、大規模なデータ侵害には、組織が「もし知っていたら絶対に保持していなかっただろう」と認識しているデータが関係していることが繰り返し指摘しています。
データの最大化ではなく最小化に取り組む
データリスクを最小限に抑えるには、データの最小化が必要です。スティーンカンプ氏は、診断とテクノロジーを活用してデータがどこに保管されているかを特定し、特に健康データや個人識別情報などの機密データについては、そのデータの最小化に取り組むことを推奨しました。
リスクスナップショットを提供できるほどリスクを理解している
CISOとコマーシャルリスク担当者は、データに関する組織のリスク状況を、いつでも実証または図解できる必要があります。これにより、組織が必要なリスクに対処し、潜在的なギャップを軽減するための適切な措置が講じられていることが示されます。
データリスクとその軽減策を取締役会に周知する
取締役会はデータリスクの状況を把握する必要があります。「本当に法的問題なのか、取締役会の問題なのか」と問うことで、このリスクを回避したくなるかもしれませんが、データが漏洩した場合、取締役会が最初に問うのは「なぜデータにまつわるリスクについて十分な情報や知見が与えられなかったのか」だとスティーンカンプ氏は述べています。
