個人データ侵害、罪を認めた組織には罰金を軽減

 
　個人データ保護委員会（PDPC）は5月22日、個人データの漏えい、不正使用など侵害行為があった場合、侵害にかかわった会社など組織は罪を認め捜査に協力すれば、罰金額を軽くすると発表した。
 
　個人データ保護法では、組織は所有する、あるいは管理するデータを不正に入手、利用、公開されないよう、セキュリティー対策を講じなければならないと規定しており、違反の場合、100万Sドル（約8,005万円）の罰金を科せられる。
 
　侵害行為の代表例はURLの操作、パスワード管理のまずさ、印刷間違いによる誤配送など。
 
　PDPCは、対策を十分講じている組織でもデータ侵害のリスクを100％なくすことはできないと思われると指摘。責任の所在をはっきりさせており、侵害に対処する措置の準備もあるとの条件付きで、組織は通常捜査の免除をPDPCに要請できる。
 
　PDPCは、通常の捜査を行うのと同等、あるいはそれ以上の執行上の成果を得られると判断すれば、要請に応じることができる。
 
　PDPCはまた、組織は侵害をどのように処理すべきかの改定指針も発表した。データ侵害の疑いがある場合、それに気付いた時点から30日以内に内部調査を終えなければならない。