ブラジル中央銀行は昨日(19日)、Pixキーに関連する個人データのセキュリティ事故がまた発生したことを報告しました。 今回は、公開された情報はSHPPブラジル支払いおよび支払いサービス有限会社、Shopeeの管理と責任の下にありました。 他の14回の類似事例が報告された際と同様に、そのニュースには、該当データが消費者に損害を与えたわけではなく、資金の移動に影響を与えるプロセスに関連していないという安心感を与える試みが伴っていた。 それにもかかわらず、専門家はこの種のアプローチが問題の深刻さの理解を低下させる可能性があり、これらのデータを使用した将来の詐欺に人々が陥ることを許す可能性があると警告している。
DeServアカデミーのパートナーであるブルナ・ファビアネ・ダ・シルバは、WOMCY(LATAM Women in Cybersecurity)によってアメリカ大陸のサイバーセキュリティ分野で最も優れた50人の女性の一人に選ばれました。彼女は、公開された情報が名前、CPF、関係機関、支店、口座番号と種類などの登録情報だけであっても、これらのデータが漏洩した人々はフィッシングやソーシャルエンジニアリングを利用した詐欺の被害者になる可能性があるため、注意が必要だと述べています。これは情報の機密性、すなわちデータの安全性の重大な侵害であることを考慮することが重要です、とコメントしています。
彼女によると、これらのケースは通常、プライバシー・バイ・デザインやプライバシー・バイ・デフォルトの実践に欠陥があることに起因しており、これらはデータプライバシー法の要件でもあります。 この事故が発生したとき、LGPDによって保証された権利を侵害するデータ漏洩が発生します。
「9月にLGPDが4周年を迎えるにあたり、このような事態は、すべての企業がデータ漏洩のリスクを軽減する戦略を持つ必要があるという意味で、教訓として役立つはずです。LGPDは情報セキュリティと法的側面にとどまりません。組織内で個人データの手順を検討する際には、プロジェクトやサービスを計画する方法として情報セキュリティを考慮することが重要です。なぜなら、この情報のライフサイクル全体を通じて、データが破棄されるまで保護が実施される必要があり、データも安全でなければならないからです」と彼は言います。
彼女によると、システムの単一障害の発生を防ぐためには、プログラミングやテストの段階から本番環境に移行するまで、アプリケーションやシステムの開発全体の流れを注意深く観察することが不可欠です。 このフォローアップは、問題や故障が発生する前に予防するために特に必要とされています。
専門家は、個人データを扱うすべての企業に対し、法的側面と情報セキュリティの両面を含む継続的改善のプロセスを開発するよう指導しています。 データ処理のすべての段階で、LGPDへの即時適合を追求することが不可欠です。法令自体がデータ保護に関する影響評価報告書の作成を要求しており、企業はこれらのプロセスを適切に整備して、潜在的なリスクを管理できるようにする必要があると述べている。
