【ブラジル「データ保護」最前線】現地弁護士によるセキュリティリスク対応ガイド《前編》
ブラジルにおけるセキュリティ・インシデントとは?
個人データに関わるセキュリティ・インシデントに関して、ANPDは「セキュリティ・インシデント・コミュニケーション規則」(RCIS)を制定した。RCISでは、個人データに関わるセキュリティ・インシデントを、情報セキュリティの3要素または7要素に含まれる 機密性、完全性、可用性、真正性といった個人データの安全性を損なう有害な事象が確認されたものと定義している。この有害な事象は、自発的または偶発的な行為によって発生する可能性があり、個人データが保存されている媒体に関係なく、個人データの開示、拡散、改ざん、不当な損失、不正アクセスにつながる可能性がある。
セキュリティ・インシデントには、個人データの紛失や利用不能も含まれる。セキュリティ・インシデントの例としては、データの乗っ取り(ランサムウェア)、情報システムに保存されたデータへの不正アクセス、そしてデータ主体に関するデータの漏えいなどがある。
リスク評価について
個人データ管理者は、インシデントに起因するリスクおよびデータ対象者への影響を評価し、ANPDに報告するかどうかを決定しなければならない。これについては、ANPDは、セキュリティ・インシデントが累積的に以下の3点における閾値に達した場合にのみ報告する必要がある、としている。
- データ管理者がその発生を検知した
- データ管理者がその発生を検知した
- データ対象者に関連するリスクまたは損害を与える可能性がある
第3の閾値に関して、RCISはまた、データ保有者に関連するリスクまたは損害とみなされる対象を明確にした。RCISにより、以下の特徴を持つ個人データに関わるセキュリティ・インシデントは、ANPDおよびそのデータ対象者に報告されなければならない。
したがって、企業は、ANPDへの報告が必要かどうかを判断するため、セキュリティ・インシデントから生じるデータ主体へのリスクと影響を、法律の前提を踏まえながら評価する必要がある。
(後編に続く)
ピックアップ
- 【2024年10月17日「適時開示ピックアップ」】地域新聞社、ANAP、デ・ウエスタン・セラピテクス…
10月17日木曜日の東京株式市場は続落した。終値は前日比で269円安い3万8911円で、この日の安値で終えた。前日に続いてオランダの半導体製…
- 三菱UFJアセットマネジメントが「選任反対」した取締役・監査役リスト#1《1000~3000番台企業…
日本製鉄系「三晃金属工業」取締役は日鉄関係者ばかり 例えば、東証スタンダード上場の金属屋根大手、三晃金属工業(証券コード1972)。取締役8…
- アンドリュー・カーネギー「自分より賢い人間を自分の周りに置く」の巻【こんなとこにもガバナンス!#24…
栗下直也:コラムニスト「こんなとこにもガバナンス!」とは(連載概要ページ) 「自分より賢い人間を自分の周りに置く」アンドリュー・カーネギー(…
- King Gnuの「IKAROS」と、経営判断原則の要諦【遠藤元一弁護士の「ガバンス&ロー」#3】…
経営者が「善管注意義務違反」と判断されないためにすべきこと 経営判断の局面で取締役になぜこのような広い裁量が認められるのか。 ① 会社の経営…
- 《最終回》米司法省 棄却でも残る「起訴の烙印」を消す“不条理な闘い”【逆転の「国際手配3000日」#…
米司法省の怠慢、アメリカ本国でも問題に 本村氏は昨夏の起訴取り消し以降、パソコンで何度も米司法省のホームページを開き、情報が更新されていない…
- 【11/8(金)15時 無料ウェビナー】「品質危機」への警鐘《品質不正とガバナンスの最前線・連続ウェ…
本誌「Governance Q」と日本公認不正検査士協会(ACFE JAPAN)共催無料連続ウェビナー「品質不正とガバナンスの最前線:公認不…