遅くて怒られちゃいました

2019年に、オンライン旅行業のbooking.comで情報漏洩がありました。
そのこと自体で、GDPRのこともあって罰金があるということなのですが、その罰金の理由がとても厳しいです。

情報を漏洩してしまったということだけでなく、事象に気が付いた時点で速やかに報告しなかったことがよくない、ということなのです。

この事例の場合、社外に事件の情報を開示してから72時間以内にオランダのデータ保護局(The Dutch Data Protection Authority。以下DPA)に報告しました。が、DPAとしては事件の情報を当事者が把握してから72時間以内にDPAに報告すべきところを怠った、という見解なのです。

実際の漏洩した情報の範囲の人の立場からすると、早く情報を開示してもらえることはとても重要なことだと思います。
一方で、漏洩してしまった組織の立場からすると、事象に気が付いてからの早急な報告というのはやはりかなり厳しいものだと思われます。

こういったことからしても平時からの準備が重要ということなのだと思います。

たとえば、今日あなたの属する組織で情報漏洩がわかったとしましょう。
そしてあなたはあなたの組織の情報システム部門のセキュリティ担当者だとしましょう。
さて、あなたはいつまでに何を開始しますか?

怒られるから準備するということではないですが、準備はやはり必要でしょうね。

参考記事(外部リンク):Too slow! Booking.com fined for not reporting data breach
fast enough

nakedsecurity.sophos.com/2021/04/06/too-slow-booking-com-fined-for-not-reporting-data-breach-fast-enough/