GDPRの実際:EUがパスワードを適切に管理していない企業に罰金を科す方法
欧州連合の一般データ保護規則(GDPR)は2年近く前に発効しており、2018年に起こったのと同じくらい多くの議論が今引き起こされていると言わざるを得ません。それを役に立たないものとして却下し続けている人々がいますEU市民が新しいWebサイトにアクセスするたびに閉じる必要のあるポップアップの波にすぎない規制の一部。他の人は、プライバシーを危険にさらしているオンラインの脅威の増加への適切な対応だと考えています。ただし、GDPRの成功を真に評価するには、正確に何であるかを理解できる必要があります。 GDPRのより目に見える効果から始めましょう。
GDPRとユーザー
多くの人は、同意ポップアップがGDPRで始まっていなかったことを知っているかもしれません。 EUは、かなり長い間、WebサイトがCookieをコンピューターに保存する前にユーザーの許可を取得する必要があるという立場をかなり固めています。多くのウェブサイトは2018年以前の方法でCookieの使用に関する情報を表示しており、人々はそれらについても不満を述べていました。
クッキーの仕事は単にあなたを追跡したり、あなたのプライバシーを侵害することではありません。多くの場合、これらはWebサイトおよびオンラインサービスの正しい操作に不可欠です。新しいGDPR同意ポップアップで行われたことは、広告主が追跡活動にあまり積極的ではないことを保証しながら、Webサイトを最大限に活用するオプションを提供することでした。それはうまくいったのですか?
問題の事実は、多くの人がポップアップを閉じるか、警告に目を通さずに[同意する]ボタンをクリックするかのどちらかであり、ある程度、対策が特に効果的でないことを示しています。ただし、同時に、数秒の遅延よりプライバシーが重要であることを理解しているユーザーもいるため、ポップアップは完全に役に立たないわけではありません。
サービスプロバイダーにとって、これは実装する最も簡単な方法の1つであり、どのような企業がデータを調べようとしているのかを伝えようとしないWebサイトを見つけるのは難しいでしょう。その観点から、規制は機能しています。ここでの問題は、ユーザーと、彼ら自身を教育することに消極的であることにもっとあります。
GDPRおよびオンラインサービスプロバイダー
一部の人々が理解していないかもしれないことは、CookieのポップアップがGDPRによってもたらされた唯一の変更とはかけ離れていたことです。規制に準拠するために、多くの企業は、リスク評価、データ保護メカニズム、インシデント対応計画、および開示手順を再考する必要がありました。彼らの何人かはそれができないことを知っていて、彼らはEUで彼らのサービスの提供をやめることを選んで救済した。他の人もそれを行うことに失敗しました、しかし彼らは働き続けることに決めて、彼らがサイバー犯罪者によって捕らえられないか、あるいはもっと悪いことに標的にされないことを望みます。
これは明らかにうまくいきませんでした。 CoreViewのGDPR罰金トラッカーによると、EU当局は28を超える企業に多額の罰金を科し、4億2,800万ユーロ(約4億6,500万ドル)を超える額を集めました。
主要な違反の大部分は、ユーザー情報の保護の失敗、他のチャネルを介した個人データの露出、または個人情報の過度の収集で構成されています。多数の違反は、2つのまったく異なる方法で解釈できます。一方で、規則や規制が機能しており、それらに準拠していない企業が代金を支払っているという印としてそれらを受け入れるかもしれません。しかし、一方で、罰金の理由をざっと見てみると、かなりの数のビジネス組織がかなり基本的なセキュリティミスを犯していることを示しています。同じことについて罪を犯しているが、まだ発見されていません。
全体として、GDPRがユーザーとサービスプロバイダーの両方がプライベートデータを処理する方法に大きな影響を与えるには、さらに多くの時間が必要になります。たとえそうであっても、万能薬とは考えるべきではありません。 GDPRの目標は、オンラインプライバシーに対する数多くの脅威を完全に排除することではなく、データ侵害に終止符を打つことはできません。ただし、できること(できればうまくいくこと)は、「セキュリティを非常に真剣に考えている」という言葉が、サイバー攻撃の結果として出された単なる定型文ではないことを確認することです。