データ侵害訴訟: 法的影響とは?

公開: 2022-11-07

Identity Theft Resource Center (ITRC) によると、2021 年には約 1,862 件のデータ侵害事例が報告されました。この数字は、侵害が 68% 急増していることを示しており、顧客、クライアント、およびその他の利害関係者にとって大きな懸念事項となっています。

残念ながら、損失はここで終わりではありません。 そのようなケースの 34% は、企業スタッフの関与を報告しています。 また、2021 年の大規模侵害の推定コストは 4 億 100 万ドルに達しています。

これらの数字を考えると、企業が驚くべき速さでデータ侵害訴訟に直面していることは驚くことではありません。

多くの場合、利害関係者は、組織が必要な予防措置を実施して機密情報を保護していると信頼しています。 それにもかかわらず、内部のアクターや悪意のある個人は、データ侵害によって会社の評判と信頼性を台無しにしようとします。

この記事を読んでいるあなたの組織は、このようなインシデントに巻き込まれている可能性があります。 もしそうなら、違反の法的な余波を知るために読み続けてください.

コンテンツ

  • 1データ侵害の法的定義
  • 2違反した場合の州の規則とは?
  • 3違反の場合の連邦規則とは?
  • 4企業は何をすべきか?
  • データ侵害後に企業が取るべき5 つの即時手順
    • 5.1 1. 違反の確認
    • 5.2 2. 盗まれた情報を特定する
    • 5.3 3. クレデンシャルの保護
    • 5.4 4. 当局への通知
    • 5.5 5. 弁護士を雇う
  • 6すべてをまとめる

データ侵害の法的定義

データ侵害の法的定義

情報盗難の法的な影響に進む前に、法律がこの行為をどのように定義しているかを学びましょう。

「個人情報のセキュリティ、機密性、または完全性を損なう、個人情報の違法かつ無許可の取得。」

侵害で一般的に標的にされた情報には、次のものがあります。

  • 個人情報
  • 業務記録
  • 医療記録

多くの法的ガイドラインが、機密データが暗号化されている場合、侵害は発生しないという共通の考えを共有していることも注目に値します。 企業にとって、暗号化は「セーフ ハーバー」と見なされています。 残念ながら、多くの企業はいまだに PII (個人を特定できる情報) の暗号化を軽視しています。

それにもかかわらず、ハッカーの標的となる企業は、政府からの多額の罰金、訴訟費用、eDiscovery 費用、弁護士費用、ブランド価値の低下など、多くの主要な問題に対処しています。 組織が PII にアクセスできる場合、この責任は多岐にわたります。

違反した場合の州の規則とは?

違反時のルール

法域の大部分には、通知違反に関する法律があります。 企業は、影響を受けるすべての利害関係者にインシデントについてできるだけ早く通知する必要があります。

さらに、市民の個人情報を所有する州外の企業も違反通知規則を遵守しなければならないことを示しています。 これは、訴訟中、記録違反ごとに罰則が科される可能性があるためです。

違反した場合の連邦規則とは?

違反の場合の連邦規則

連邦政府は、一般的な全国データ侵害法を遵守しています。 これには、企業が 30 日以内に顧客に違反を通知することを義務付けるデータ セキュリティおよび違反通知法が含まれます。 法案によって処罰が追加されることを知っておいてください。また、誰かが「意図的かつ故意に」データ侵害を隠した場合、最大 5 年の懲役になる可能性があります。

医療保険の相互運用性と説明責任に関する法律 (HIPAA) とグラム・リーチ・ブライリー法 (GLBA) は、侵害通知を義務付ける連邦規制としてよく知られています。 HIPAA は、医療提供者、健康保険会社、診療所、および患者情報を扱うその他の企業を対象としていますが、GLBA は詐欺の財務的側面を対象としています。

企業は何をすべきか?

サイバーセキュリティの実装

誰が侵害の責任を負っているのかに関係なく、社内のアクターまたはプロのハッカーであり、会社はインシデントの責任を問われます. ホワイトカラー犯罪に分類されます。 サイバーセキュリティ対策による機密情報の安全性は企業の責任だからです。

犯罪の重大度に応じて、連邦捜査局 (FBI)、証券取引委員会 (SEC)、全米証券業協会 (NASD) が関与する場合と関与しない場合があります。

それでも、ホワイトカラー犯罪の専門知識を持つ刑事弁護人を雇うのが最善でしょう。 彼らは、事件に関連する法律や規制についてあなたを導き、あなたを弁護するための証拠を収集することができます.

確かに、ID や情報の盗難に関連するケースは複雑です。 ただし、弁護士は、調査、反対尋問、冒頭陳述および最終陳述を支援することができます。

主題に関する彼らの知識と経験は、罰則を下げるのに役立ちます。 彼らは、企業の機密情報も個人情報とともに盗まれたという証拠を見つけて、組織が事件に関与していないことを立証することができます。

データ侵害後に会社が取るべき即時の措置

サイバーセキュリティ会社

1.違反を確認する

まず第一に、単なるフェイク ニュースではなく、侵害が実際に発生したことを確認する必要があります。 状況によっては、情報リンクを含むフィッシング メールを受け取り、侵害につながる場合があります。 したがって、そのようなニュースを扱うときは注意が必要です。 さらに行動を起こす前に、BOD およびトップレベルの管理チームに連絡して情報を確認してください。

メールが届いたら、ニュースを確認せずにリンクをクリックしないでください。

2. 盗まれた情報を特定する

情報が正しい場合は、盗まれた機密データを特定します。 通常、サイバー犯罪を回避するために、すべての企業情報を暗号化し、2 要素認証を使用することをお勧めします。 それでも、悪意のある人がデータにアクセスする可能性があります。 したがって、IT チームに働きかけ、詐欺の原因を突き止めてください。

3.資格情報を保護する

すでに受けたダメージを軽減するには、以下の手順に従ってください。

  1. すべてのログインをすぐに変更します。 まだ行っていない場合は、2 要素または多要素認証システムを追加します。
  2. パスワードが簡単に破られたり、以前に使用されたりしていないことを確認してください。
  3. 資格情報へのアクセス権を既に持っている人を確認します。 この情報は、捜査や訴訟の際に役立ちます。

4. 当局への通知

上記のように、法的には、侵害について利害関係者に通知する必要があります。 さらに、警察、銀行、およびその他の適切な当局に苦情を申し立てる必要があります。 これにより、州法および連邦法への準拠が保証され、訴訟に重みが与えられます。

5. 弁護士を雇う

最後になりましたが、自分自身を守るために弁護士を雇う必要があります。 データ侵害の事例が劇的に増加するにつれて、法律はより厳しくなっています。 したがって、弁護士と協力することで、有利な立場に置かれ、訴訟が容易になります。 彼らは、金銭的なペナルティを可能な限り下げるために、すべきこととすべきでないことについてさらにガイドすることができます.

まとめると

これらは、企業が法的影響を順守できるいくつかの方法です。 自分を守りながら。 ただし、このような事態を避けるために、事前にサイバーセキュリティ対策を講じておくことが最善です。

また読む:

  • VPN とは: どのように使用されるか
  • 2022 年のベスト マスター データ クレンジング サービス
  • IT コンサルタントに相談する 2 つの理由