2019年5月23日
個人データ侵害、罪を認めた組織には罰金を軽減
個人データ保護委員会(PDPC)は5月22日、個人データの漏えい、不正使用など侵害行為があった場合、侵害にかかわった会社など組織は罪を認め捜査に協力すれば、罰金額を軽くすると発表した。
個人データ保護法では、組織は所有する、あるいは管理するデータを不正に入手、利用、公開されないよう、セキュリティー対策を講じなければならないと規定しており、違反の場合、100万Sドル(約8,005万円)の罰金を科せられる。
侵害行為の代表例はURLの操作、パスワード管理のまずさ、印刷間違いによる誤配送など。
PDPCは、対策を十分講じている組織でもデータ侵害のリスクを100%なくすことはできないと思われると指摘。責任の所在をはっきりさせており、侵害に対処する措置の準備もあるとの条件付きで、組織は通常捜査の免除をPDPCに要請できる。
PDPCは、通常の捜査を行うのと同等、あるいはそれ以上の執行上の成果を得られると判断すれば、要請に応じることができる。
PDPCはまた、組織は侵害をどのように処理すべきかの改定指針も発表した。データ侵害の疑いがある場合、それに気付いた時点から30日以内に内部調査を終えなければならない。