企業の取締役やセキュリティチームが証券取引委員会(SEC)の新しいサイバーセキュリティ規制を確実に満たすために奔走する中、保護された個人識別情報(PII)の取り扱いを誤ったことによる賠償請求はランサムウェア攻撃のコストに匹敵する可能性があるとサイバー部門副社長のデビッド・アンダーソン氏は警告する全国保険仲介業者ウッドラフ・ソーヤー社の責任。
プライバシー侵害の申し立てが法的手続きを経るまでに何年もかかりますが、「ランサムウェアの申し立てが 3 ~ 5 日かかるのと同じくらい、損害は一般に 3 ~ 5 年間で壊滅的になります」と彼は言います。
で 2024年の訴訟動向に焦点を当てたプレゼンテーション, ウッドラフ・ソーヤー社の上級副社長兼国家サイバー実務リーダーのダン・バーク氏は、「ピクセル追跡の主張は原告側の法廷の最新の標的であり、適切な同意を得ることなく画面上のピクセルを通じてウェブサイトの活動を追跡している企業を追及している」と述べた。
ウッドラフ・ソーヤーの調査で、サイバー保険引受会社の 31% が 2024 年の最大の懸念事項としてプライバシーを挙げ、回答者の 63% が選んだランサムウェアに次いで XNUMX 番目となったのは、このような活動が原因である可能性があります。
プライバシーはビジネス上の問題です
モザイク保険のシニアバイスプレジデント兼国際サイバー部門責任者であるジェームズ・タプリン氏は、保険会社が今年プライバシーの傾向をより詳しく調べることになることに同意する。プライバシー訴訟が裁判所で成立するには2024~2017年かかることが多い、と同氏は認めている。つまり、多くの国や米国の州が新たなプライバシー法を可決し始める前の、2019年から2018年に起こされたプライバシー訴訟がXNUMX年に最高潮に達することになる。たとえば、欧州連合の一般データ保護規則 (GDPR) は XNUMX 年に発効したため、これらのケースは初期の GDPR 違反に相当します。
しかし、保険会社にとっては、「最終的な解決に向けて損失が積み重なるまで、引受会社は資本を運用するのに長い時間がかかる」ため、プライバシー請求に対する支払いはそれほど大きくない可能性があるとアンダーソン氏は説明する。それは、保険会社が交渉や訴訟を通じて保険金請求を処理している間、エスクローで資金を保持することによる利息を保持しているためです。
通常、取締役会にはプライバシーに関して有能なアドバイザーがいますが、取締役会は依然としてプライバシー問題をビジネス問題ではなく IT 問題として考える傾向があるとタプリン氏は言います。 SEC を含む一部の規制当局は、 CISO が照準を合わせる たとえ規制が予算を管理したり、すべてのサイバーセキュリティ問題を解決する権限を持っていなくても、彼は付け加えた。
プライバシー法の追跡
取締役会やセキュリティ チームにとってプライバシーが困難になっている理由の 1 つは、多くの場合、組織がどのような種類のデータを収集しているのか、そのデータがどこに存在するのかを把握していないことが挙げられると、LMG セキュリティの創設者兼 CEO のシェリー ダビドフ氏は述べています。 企業はデータを溜め込む傾向がある 危険物として考えるのではなく、資産として扱うべきだと彼女は言います。
「核廃棄物のようなものです」と彼女は言う。 「データが多ければ多いほど、リスクも大きくなります。」
企業は、データ、特に PII を排除するという、問題を引き起こす可能性のあるデータをより適切に除去する必要があります。 規制または法律違反 データが悪者の手に渡った場合。安全保障の専門家が 何年も企業に言い続けてきた どのようなデータを保有し、それがどこにあるのかを知る必要があるが、厳格な規制監視の対象となっている企業を含む多くの企業は、すべてのデータの分類と場所の特定が不十分であることが多い、と彼女は言います。
多くの企業が直面するもう 1 つの大きな課題は、保有するデータのプライバシー法や規制要件をすべて追跡していないことです。理解する 米国のデータプライバシー法の展望 それだけでも十分難しいですが、ほぼ次のことを考えると、さらに難しくなります。 どの州にも独自の法律がある 特に健康記録と子供のデータを扱います。さらに、欧州連合国民に関する PII を持つ組織は、次のことも行う必要があります。 GDPRに従う。他国で事業を行う企業は、プライバシー法を確実に満たすために、事業を展開するすべての国の法律を弁護士に調査してもらう必要があります。
小さなエラー = 大きな損失
多くの企業は、さまざまなコンプライアンス規制を遵守し、州法を遵守し、サイバー保険に加入していれば大丈夫だと考えています。
「実際のところ、それだけでは十分ではありません」と、法律事務所キエサ・シャヒニアン&ジャイアントマシ(CSG法)でプライバシーとデータセキュリティ業務を率いるミシェル・シャープ氏は言う。 「侵害された事業体に対する司法長官や他の執行機関の措置による消費者の訴訟や法的措置から保護するには十分かもしれないが、考慮すべき点は他にもある。」
掲載されたプライバシー ポリシーを完全に遵守しないなど、軽微な違反に見える場合でも、複数の規制違反の罰金が科せられる可能性があります。
「これは欺瞞的な貿易慣行だ」とシャープ氏は言う。 「もしあなたがXをしていると言っているのに、実際はそうではないのであれば、それがFTCの主張の最初のカウントとなる。各州には独自の小さな FTC 法、つまり消費者保護法があります。」
企業のセキュリティ チームが見逃す可能性のある軽微な違反に見えても、コンプライアンス違反や法律違反を引き起こす可能性があるもののもう 1 つの例は、単純なオプトアウト リクエストです。消費者が企業に対してメーリング リストからの削除を要求する場合、すべての州法を遵守するために、要求者が使用するすべての電子メール アドレスを要求に含める必要があります。したがって、企業が法律を遵守していると言っているとしても、事業を展開しているすべての州で準拠しているわけではない可能性があります。プライバシー法の順守について虚偽の説明をすると、保険請求が拒否される可能性があります。
シャアプ氏は、企業が気づいていない可能性のあるコンプライアンスの穴を埋めるために、サイバー保険会社が提供するセキュリティ机上演習やその他の演習などのあらゆる支援を利用して、規制を正しく遵守し、自社のポリシーを適切に維持することを推奨しています。代わりに。
これは単なる理論上の話ではありません。 2022 年、ある企業が多要素認証の使用について虚偽の報告書を作成しました。 保険申請 アンケート。サイバー保険会社トラベラーズは同社を告訴し、最終的にはサイバー保険契約をキャンセルしたにもかかわらず、同社が支払った保険料を維持し、請求を拒否した。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
- :持っている
- :は
- :not
- :どこ
- 2017
- 2018
- 2019
- 2022
- 2024
- 7
- a
- 私たちについて
- Action
- アクティビティ
- さらに
- アドレス
- 追加
- 付着します
- 執着
- 利点
- 顧問
- 後
- に対して
- 代理店
- 同意する
- すべて
- また
- an
- および
- アンダーソン
- 別の
- どれか
- です
- AS
- 資産
- At
- 攻撃
- 弁護士
- 認証
- 権威
- バー
- BE
- ビート
- なぜなら
- になる
- になる
- き
- 始まった
- より良いです
- ビッグ
- 証券会社
- 予算
- ビルド
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- できる
- 資本
- 例
- 壊滅的な
- 最高経営責任者(CEO)
- 挑戦する
- 挑戦
- 子供達
- 選ばれた
- 住民
- クレーム
- クレーム
- クローザー
- 収集
- 委員会
- 企業
- 会社
- 完全に
- コンプライアンス
- 準拠した
- 従う
- 損害を受けた
- 懸念
- 同意
- 検討事項
- 考えると
- 考慮する
- consumer
- 消費者保護
- コントロール
- 企業
- 費用
- 可能性
- 弁護士
- カウント
- 国
- 国
- コース
- 裁判所
- カバー
- サイバー
- サイバーセキュリティ
- データ
- データプライバシー
- データ保護
- データセキュリティ
- デイビッド
- 日
- 取引
- にもかかわらず
- 難しい
- 取締役
- do
- ありません
- すること
- 原因
- 各
- 効果
- 排除
- 執行
- 十分な
- 確保
- エンティティ
- エラー
- 預託
- 欧州言語
- 欧州連合
- さらに
- あらゆる
- 例
- 交換
- 説明
- 顔
- 実際
- 秋
- 提出
- 埋める
- ファイナル
- 会社
- 企業
- 名
- 五
- 焦点
- フォロー中
- AIとMoku
- 創設者兼最高経営責任者(CEO)
- から
- FTC
- 資金
- GDPR
- 一般的なデータ
- 一般的なデータ保護規則
- 一般に
- 生成する
- 行く
- 良い
- ハンド
- 持ってる
- he
- 健康
- 助けます
- 開催
- 穴
- しかしながら
- HTTPS
- 識別可能
- 識別
- if
- in
- その他の
- 含めて
- 情報
- 初期
- 保険
- 関心
- 世界全体
- に
- ISN
- 問題
- 問題
- IT
- ITS
- ジョブ
- JPG
- ただ
- キープ
- 保管
- 種類
- 知っている
- 大
- 最新の
- 法律
- 法律事務所
- 法制
- リーダー
- リード
- リーガルポリシー
- 法的措置
- 賠償責任
- ような
- リスト
- 訴訟
- 少し
- 位置して
- 場所
- 長い
- 長い時間
- 見て
- 損失
- 損失
- 郵送
- 主要な
- 多くの
- 材料
- 問題
- 五月..
- 手段
- 大会
- ミシェル
- かもしれない
- マイナー
- 誤った取り扱い
- 他には?
- ずっと
- 多要素認証
- の試合に
- しなければなりません
- 国民
- ほぼ
- 必要
- ニーズ
- 交渉
- 新作
- 注意
- ノート
- 核の
- 入手
- of
- オフ
- 頻繁に
- on
- ONE
- の
- 動作
- or
- 注文
- 組織
- その他
- が
- 見落とし
- 自分の
- 支払われた
- 特定の
- 通過
- 個人的に
- ピックアップ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- ポリシー
- 方針
- 貧しいです
- 掲示
- 練習
- 社長
- プライバシー
- プライバシーポリシーをご覧ください。
- プロセス
- 適切な
- 守る
- 保護された
- 保護
- は、大阪で
- パッティング
- ランサムウェア
- ランサムウェア攻撃
- むしろ
- RE
- 理由は
- お勧めする
- 記録
- 規制
- 規制
- レギュレータ
- レギュレータ
- 規制監督
- 表す
- 要求
- 要件
- 常駐
- 解像度
- 回答者
- リテンションを維持
- 右
- リスク
- ライバル
- s
- 格言
- 言う
- 画面
- SEC
- 二番
- 有価証券
- 証券取引委員会
- セキュリティ
- 思われる
- シニア
- セッションに
- セブン
- 彼女
- すべき
- 側
- 簡単な拡張で
- 小さい
- So
- 解決する
- 一部
- 特に
- スポンサー
- 都道府県
- 米国
- 滞在
- まだ
- 厳格な
- テーマ
- そのような
- 訴え
- 十分な
- スーツ
- Survey
- 取る
- 撮影
- 取り
- 取得
- ターゲット
- チーム
- 傾向があります
- より
- それ
- 法律
- アプリ環境に合わせて
- その後
- 理論的な
- そこ。
- ボーマン
- 彼ら
- 考える
- この
- 今年
- それらの
- しかし?
- 三
- 介して
- 従って
- 時間
- 〜へ
- top
- 追跡する
- 追跡
- トレード
- 旅行
- トレンド
- トリガー
- 最終的に
- 理解する
- 組合
- ユニーク
- us
- 米国の州
- つかいます
- 使用されます
- さまざまな
- バイス
- 副会長
- 違反
- 違反
- 警告する
- 無駄
- 仕方..
- 方法
- ウェブサイト
- went
- この試験は
- いつ
- which
- while
- 誰
- なぜ
- 意志
- 無し
- 仕事
- 間違った
- 間違った手
- X
- 年
- 年
- You
- ゼファーネット