データ侵害の法律と通知
1)導入と目標
データ漏洩は、技術的な事件であるだけでなく、通知の内容に関する明確な期限、住所、正式な要件を伴う法的手続きでもあります。早い時間の間違いは罰金のリスクを高めます、クラスのアクションと評判の損失。この資料は、B2Cプラットフォーム(iGaming/fintechを含む)のための実用的なロードマップであり、セキュリティ、弁護士、PR、カスタマーサポート、コンプライアンスなどの同期に役立ちます。
2)「個人データの漏洩」と見なされるもの"
個人データの偶発的または違法な破壊、紛失、改ざん、公開されていないアクセスまたは開示に起因する個人セキュリティ事件。被験者の権利と自由(機密性、財政的危害、差別、フィッシングなど)に対するリスクの事実は重要です。
3)役割と責任
スーパーバイザ(オペレータ)-処理の目標と手段を決定します。通知、会計および法的根拠の選択のための主な責任を負います。
プロセッサ(プロセッサ/請負業者)-代わってデータを処理します。遅滞なくコントローラに通知し、調査や通知を支援する必要があります。
共同監督者-単一の連絡先を調整し、契約の責任領域を割り当てます。
4)通知しきい値: 3つのリスクレベル
1.リスクなし(例:強力なキーを持つ暗号化されたメディア、危険にさらされていないキー)→インシデントログ、外部通知なし。
2.リスク(危害の可能性があります)→時間通りにレギュレータの通知。
3.高リスク(重大な危害は可能性が高い:財政、健康、子供、大規模な漏洩、脆弱なグループ)→理解可能な言語で、遅滞なく被験者の追加通知。
5)通知期間(キーモードのベンチマーク)
EU/EEA (GDPR):コントローラは、漏れを認識してから72時間以内にレギュレータに通知します。被験者-リスクが高い場合は「過度の遅延なし」。
英国GDPR/ICO: 72時間レギュレータに類似しています。インシデントの記録を残して。
カナダ(PIPEDA):規制当局と実体へ-できるだけ早く「実質的な危害のリスク」;少なくとも24ヶ月間登録してください。
シンガポール(PDPA): PDPCで-できるだけ早く、査定の完了後3日以内に;被験者-重大な害の危険性に遅滞なく。
ブラジル(LGPD):規制当局と実体へ-「合理的な時間内に」;ランドマーク-確認の後でできるだけ早く。
アラブ首長国連邦(fed。PDPL )/ADGM/DIFC:ほとんどの場合-高リスクで~ 72時間以内のレギュレータの通知。
オーストラリア(NDB):最大30日間の評価。「通知可能な」インシデントの確認後、「できるだけ早く」通知。
米国(州法):締め切りは異なります(しばしば「不当な遅延なし」、時には固定された30-60日)。データの量と種類のしきい値、大事件の場合の検察総長/機関の通知。
インド(DPDP):規制当局/エンティティへの通知-規制当局によって確立された手順に従って;識別の後で速やかに行動して下さい。
6)通知に何をすべきか
レギュレーターへ:- 事件の簡単な説明とタイムライン。
- 影響を受けるデータと被験者のカテゴリーとおおよその量;
- 可能性の高い結果。
- 実施または提案された措置(緩和、再発の防止);
- DPO/責任あるグループの連絡先
- status:その後の追加に関するメモ付きの予備メッセージ(すべての事実が確立されていない場合)。
- 平易な言葉で何が起こったか、そしていつ;
- どのようなデータが影響を受け、影響を受ける可能性があります。
- すでに行われていること(ロック、キーの変更、強制パスワードの回転など)。
- ユーザーができること(2FA、パスワード変更、アカウント/信用監視)。
- サポートチャネル、無料サービス(例えば、財務データ漏洩の場合の信用監視)。
7)許容通知遅延
多くの政権では、即時開示が調査に干渉する場合、法執行機関の要請により通知が遅延する可能性があります。文章で理由と猶予期間を記録します。
8)暗号化および安全な港
多くの法律では、データが安全に暗号化されており、キーが危険にさらされていない場合、被験者は通知を免除されています。文書アルゴリズム/キー管理;技術的根拠をインシデントレジスタに添付します。
9)応答手順: 「最初の72時間」タイムライン
T0-4 H。
IRプランを有効にします。リード(SIRT、弁護士、PR、 DPO)を割り当てます。
攻撃ベクトルの分離、アーティファクトの収集(ログ、ダンプ)、システム時間の修正。
プライマリ資格:個人データ?どのカテゴリーですか?ボリューム?地理的に?請負業者か?
T4-24 H。
リスクアセスメント:権利と自由への影響;子供/財政/健康。
解決策:レギュレータに通知しますか?(はいの場合、私たちは「予備通知」を準備しています)。
被験者への通知のドラフト+サポートのためのFAQ;PRメッセージ。
請負業者/プロセッサの検証:レポートの要求、イベントログ。
T24-72 H。
(必要に応じて)レギュレーターに通知を送信します。ログを送信します。
緩和措置のセットの最終化(強制パスワードの変更、キーの回転、操作の時間制限、2FA)。
(適切な場合)公開文を準備し、ホットライン/ボットを起動します。
72時間後だ。
それらが明確にされるように規制当局への追加の報告;post-mortem;ポリシーとコントロールを更新します。
10)請負業者および加工チェーンの管理
契約DPA/プロセッサの責任:「即時通知」、24/7コンタクトチャネル、初期レポートあたりのSLA(例:24時間)。
保護措置を監査/チェックするコントローラの権利。
すべての請負業者のインシデントおよび措置の必須記録。
サブプロセッサへの義務の延長。
11)特別なカテゴリーとリスクグループ
子供、健康、財政、生体認証、資格情報-ほとんどの場合、リスクが高い→被験者の優先通知。
複合リーク(PII+クレジット/トークン)→即時強制回転およびトークン障害。
地域別:一部の州/国では、大規模なクレジットビューロー/オンブズマンの通知が必要です。
12)コミュニケーションの内容と形態
明白な言語(B1)、技術的な専門用語なし。
リクエストのパーソナライズ、可能であれば;それ以外の場合-公開発表と電子メール/プッシュを組み合わせて。
チャンネル:電子メール+SMS/プッシュ(重要な場合)+アカウントのバナー;大容量の場合-公共のポストとFAQ。
フィッシングのようなリンクをメールに含めないでください。公式ウェブサイト/アプリを通じてパスを提案します。
13)記録文書および貯蔵
インシデントログ:日時、発見、分類、通知の決定と正当化、通知テキスト、メーリングリスト、派遣証明、規制対応、修復措置。
貯蔵寿命-政権によると(例えば、PIPEDA-少なくとも24ヶ月;他の人のために-3-6年の内部期間)。
14)制裁と責任
規制当局の罰金(EUでは-体系的な違反または期限を無視した場合に重要)。
被験者の請求、安全慣行を変更する命令。
事後監視と報告義務。
15)典型的なエラー
「完璧主義」による遅延:タイムリーな事前通知の代わりに全体像を待っています。
間接リスクの過小評価(電子メール+フルネーム漏洩後のフィッシング)。
チーム間の整合性の欠如(弁護士/PR/セキュリティ/サポート)。
規制当局と「カントリーマトリックス」の関係のない連絡先。
プロセッサおよびサブプロセッサの契約上の義務を無視します。
16)準備チェックリスト(インシデント前)
1.インシデント対応ポリシーを24時間年中無休で承認します。
2.DPO/ResponsibleおよびProxiesを割り当てて、レギュレータと連携します。
3.国のマトリックスを準備する:日付、目的地、しきい値、フォーム。
4.既製の文字テンプレート:レギュレーター、被験者、メディア、サポートのためのFAQ。
5.処理レジストリ、データマップ、プロセッサ/サブプロセッサのリストを更新します。
6.6〜12ヶ月ごとにテーブルトップのエクササイズを行います。
7.DPAに含める:「X時間以内の通知」、必須の初期レポート、監査ログ。
8.安静時および通過時の暗号化、キー管理、シークレット回転を有効にします。
9.データアクセス異常と自動アラートの監視を確立します。
10.PRプレイブックとパブリックステートメントポリシーを準備します。
17)管轄のミニマトリックス(要約ベンチマーク)
(行列-参照点。使用の前に現在の規則を点検して下さい。)
18)ドキュメントテンプレート(リポジトリに保管)
インシデントレスポンスポリシー+Runbook 72h
データ侵害通知-レギュレータ(ドラフト/予備/ファイナル)
データ侵害通知-個人(電子メール/SMS/FAQ)
プレスステートメント&Q&A
Processor Breach Report Form(請負業者向け)
学習した教訓/死後のテンプレート
カントリーマトリックス。xlsx(レギュレータの連絡先、締め切り、しきい値)
19)出金
漏洩が発生した場合の「法的通路」の通過に成功するのは、スピード+ドキュメント+透明なコミュニケーションです。原則は簡単です:迅速な事前通知、ユーザーへの明確な指示、規制当局や請負業者との明確な調整、そして調査が進むにつれて詳細のさらなる明確化。定期的な演習と最新のテンプレートのセットは、最も重要な瞬間に法的および評判のリスクを軽減します。