個人情報と企業データは、2024年の企業にとって最も価値のある資産の一つであり、その状況は2025年も続くでしょう。 これがこれらの情報漏洩が単なる技術的リスク以上のものである理由です。それは、ブランドの財務状況と評判に深く影響を与えるセキュリティインシデントです。 LGPD(一般データ保護法)に基づく制裁に伴う潜在的な費用(売上高の2%または違反ごとに5000万レアルの罰金)に加え、漏洩の対象となった企業は、しばしば過小評価される隠れたコスト、システムの復旧やイメージや外部関係への無形の損害に直面しています。
ブラジル企業は、データ侵害の平均損失額が675万レアルに達していると、IBMが作成・公開した「Cost of a Data Breach 2024」レポートによると報告されています。 しかし、実際には、その影響はさらに大きく、機密情報保護の抜け穴は法的な損失だけでなく、より堅牢なセキュリティポリシーを持つ競合他社に顧客が流出することや、業務の中断、危機を緩和するための広報やサイバーセキュリティへの緊急投資など、他の結果による損害も引き起こします。
アンドersen Ballão Advocaciaのデジタル法専門家である弁護士マルコ・ゾルジによると、LGPDの適用拡大と最新のデータ処理規則は、透明性と安全性の体系への適応を必要としています。 予防は、企業のルーチンで処理されるデータの特定から始まります。どの情報が関与しているか、どこに保存されているか、誰と共有されているか。 この流れを把握するための対策を講じることで、予防を強化し、安全インシデントに対して即座かつ効果的に対応することが可能です。そして、それには特に法務チームとITチームの努力が必要ですと、ゾルジは述べています。
注目すべきは、罰金と警告に加えて、LGPD ガイドラインに従わなかった場合、会社の個人データベースが最大 6 か月間停止され、違反が公表され、情報処理活動の全部または一部が禁止される可能性があるということです。
専門家によると、データ保護責任者の役割、セキュリティインシデントの伝達、データの国際転送に関するANPD(国家データ保護機関)の新しい規制により、企業責任の基準が引き上げられるとのことです。
ハッカー攻撃
リスクを認識し、予防的に行動することの緊急性は、ハッカーの侵入によるデータ漏洩についてエレトロパウロに責任があるとした上級裁判所(STJ)第3審理部の判決によってさらに強化されました。
裁判所は、犯罪攻撃の場合でも、企業のデータ保護義務は変わらないと結論付けました。 その決定は、データを保護するために適切な技術的および管理的措置を採用することを定めたLGPDの第19条および第43条に基づいています。
