要約

  • Desjardins が重要なのは、公的記録が、機密の会員情報が外見上は正当だが設計上は安全でない業務経路を通じてコピーされた金融機関を示しているためである。
  • カナダプライバシーコミッショナー事務局は、この漏洩が最終的にカナダ国内外で約970万人の個人に影響を及ぼしたとし、Desjardins の最初の声明では、当初の発見で290万人以上の会員の情報が組織外に共有されていたと述べている。
  • 説明責任の問題は、従業員のアクセス権、共有ドライブワークフロー、データ最小化の境界、監視、リムーバブルメディアの露出、会員通知、是正費用、および同じタイプのコピーが再発しないという証明を誰が実際に管理していたかである。
  • Desjardins はクレジット監視、身元保護、規制当局へのコミットメント、公的財務引当金、集団訴訟和解プロセスで対応した。これらの措置は必要だったが、アクセスガバナンスの条件が変わったという証拠の必要性に取って代わるものではなかった。
  • この記事では、Desjardins の通知、カナダプライバシーコミッショナーの調査結果、Desjardins の財務報告、和解記録、プライバシー法、OSFI ガイダンス、セキュリティガバナンスフレームワークを公的証拠として扱う。非公開の警察ファイル、完全な従業員ログ、個々の会員の損失記録、または後の内部監査成果物へのアクセスを主張するものではない。

この事例がリスクと説明責任のファイルに属する理由

Desjardins がリスクと説明責任のファイルに属するのは、この漏洩が従来の外部侵入の話ではなかったからである。公的証拠は、会員がアクセス設計や保持慣行を実際に検査する方法を持たない機関から、従業員に関連した金融 ID 記録の抽出を説明している。Desjardins の2019年6月20日の公開声明(https://www.newswire.ca/news-releases/desjardins-statement-concerning-unauthorized-access-to-some-member-information-806079260.html)は、ラバル警察が Desjardins に連絡し、290万人以上の会員(個人会員270万人、事業会員17万3千人を含む)の個人情報が組織外に共有されたという情報を確認したと述べている。声明は、この状況を解雇された従業員による内部データの不正かつ違法な使用に帰している。

この最初の開示はすでに深刻であった。その後の規制記録はそれをより大きく、構造的に重要なものにした。カナダプライバシーコミッショナー事務局の調査結果(https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2020/pipeda-2020-005/)は、Desjardins が2019年5月27日にセキュリティ保護の侵害を連邦プライバシー事務局に通知し、最終的にカナダ国内外の約970万人の個人に影響を及ぼしたと述べている。侵害された情報には、氏名、生年月日、社会保険番号、住所、電話番号、電子メールアドレス、取引履歴が含まれていた。同じ報告書は、Desjardins が一人の従業員が少なくとも26ヶ月にわたり個人情報を外部に持ち出していたと結論付けたと述べている。

この事例がここに属するのは、その証拠が問題を「従業員が何か悪いことをした」から「組織が一人の従業員に大規模な身元リスクを生み出せるデータ環境を構築していた」に変えるからである。金融機関は、機密情報がデータウェアハウス、マーケティングフォルダ、ワークステーション、リムーバブルメディアを移動する場合、内部関係者による露出を驚くべき例外として扱うことはできない。機関が従業員の役割が大量の会員 ID データを表示、コピー、集約、またはエクスポートできるワークフローを作成する場合、アクセスガバナンスは会員保護の管理策である。それは管理上の好みではない。

説明責任の問題は直接的である。従業員のアクセス権、データ最小化の境界、監視、外部持ち出しの検出、会員通知、是正費用、そして金融 ID データが承認されたワークフロー外にコピーされないことの証明を誰が実際に管理していたか?Desjardins のリーダーシップはガバナンス、投資、プライバシー管理の優先順位を管理していた。事業部門はマーケティングと分析のワークフローが広範な ID ファイルを必要とするかどうかを管理していた。テクノロジーとセキュリティチームはアクセスのプロビジョニング、共有ドライブのアーキテクチャ、エンドポイント監視、ロギング、リムーバブルメディアの管理を管理していた。プライバシーとリスクチームは保持ポリシー、トレーニング、インシデント対応、規制当局への証拠を管理していた。会員はそれらのほとんどを管理していなかった。彼らは金融生活に必要だったため ID 情報を提供した。

この事例はデータ主権と地域性にも適合する。記録は、カナダ人およびその他の個人に関するものであり、ケベック州に拠点を置く協同組合金融機関が連邦および州のプライバシー監督の下で保持していたものである。セキュリティ自動化にも適合する。管理の失敗は、監視、自動データ移動、異常なコピーが集団規模のイベントになる前に検出および停止できるかどうかに部分的に関係していた。公共セクターの継続性にも適合する。金融 ID 記録は一般の会員を税制、信用システム、福利厚生、警察への報告、公的規制への信頼に結びつける。民間協同組合の漏洩は、社会保険番号、住所、取引履歴が関与する場合、市民の身元リスク問題になりうる。

目に見える引き金は従業員だったが、管理システムはより広範だった

Desjardins の漏洩を内部関係者の話として説明し、そこで止めたくなる。それは核心的な説明責任の問題を見逃すことになる。カナダのプライバシー調査結果は確かに悪意のある従業員を特定し、個人情報を共有ドライブから作業用コンピューター、そして USB キーにコピーしたと説明している。しかし、同じ報告書は、そもそも機密の個人情報を共有フォルダに配置した業務ワークフローを説明している。従業員がクレジットデータウェアハウスからマーケティング部門の共有ドライブのユーザーフォルダに個人情報を自動転送していたこと、他の従業員が銀行データウェアハウスから共有ドライブに機密の個人情報をコピーしていたことが述べられている。悪意のある従業員は、銀行データウェアハウスでは通常アクセスできなかった情報を含め、これらの共有場所から情報をコピーした。

これが重要なのは、従業員が侵入不可能なシステムを打ち破る必要がなかったからである。従業員は、機密記録をすでに到達可能な作業場所に持ち込んでいたシステムを悪用した。説明責任の観点では、組織は、長期的な身元リスクを生み出すほど機微なデータが、広範または十分に保護されていない業務場所に配置された理由を説明しなければならなかった。また、長期にわたってコピーを中断しなかった検出および防止管理の理由も説明しなければならなかった。

「不正かつ違法な使用」という表現は引き金として正確だが、ガバナンスはその表現で終わらせることはできない。内部関係者はどの組織でも信頼を裏切る可能性がある。説明責任の問いは、機関が内部関係者の不正使用が予見可能であるかのように特権的ワークフローを設計したかどうかである。金融機関は、規制された信用および銀行関係を支援するために、社会保険番号、氏名、住所、生年月日、口座関連情報、取引履歴を正確に処理する。その機微性は、誰がデータを見ることができるか、どこにステージングできるか、そこにどれだけ長く留まるか、エンドポイントにコピーできるか、リムーバブルストレージがブロックされているか、異常な移動がアラートを生成するかを制限する義務を生み出す。

したがって、Desjardins の公開声明とプライバシーコミッショナーの調査結果は一緒に読まれるべきである。最初の公開声明は会員に引き金と即時の保証経路を与えた。規制当局の記録は管理の構造を与えた。最初の声明だけを読む会員は、異常なアクセス権を持つ不正な従業員を想像するかもしれない。規制当局の記録を読む者は、より広範なガバナンス問題(アクセス権、共有ドライブ設計、データ転送慣行、保持、従業員トレーニング、監視、漏洩後の緩和)を見る。

これが責任の語りと管理の語りの違いである。責任の語りはポリシーに違反した人を探す。管理の語りは、ポリシーと技術環境が違反を拡大させた理由を問う。両方が重要である。従業員の行為はインシデントの中心であったが、会員は Desjardins がその行為をその規模で重要にした条件を変えたという証拠を必要としていた。

データ最小化は抽象的なプライバシー原則ではなかった

データ最小化はしばしば法的な言葉として扱われる。このケースでは、それは実用的なセキュリティ境界であった。金融機関は、収集、保持、コピー、ステージング、到達可能にしたものだけを失ったり漏洩したりできる。カナダのプライバシー調査結果は、侵害された情報の一部の古さから、OPC が Desjardins のデータ破棄慣行をレビューしたと述べている。報告書は、説明責任、保持期間、セキュリティ保護に関する違反を認定した。また、Desjardins にはライフサイクル終了時の個人情報破棄手順がなく、インシデントから数ヶ月経っても侵害された非アクティブ口座の保持期間を決定できなかったと述べている。

これは決定的な説明責任のポイントである。保持ポリシーは、記録が後に詐欺に使用される可能性のある ID 情報を含む場合、記録管理の付随問題ではない。社会保険番号と生年月日は、口座が非アクティブだからといって無害になるわけではない。住所、電話番号、電子メールアドレス、取引履歴は、説得力のあるなりすまし試行を構築するために使用できる。情報が目的を終えた後もアクセス可能なシステムに長く留まるほど、漏洩表面は大きくなる。

個人情報保護および電子文書法(PIPEDA)(https://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.html)は、カナダにおける民間セクターの個人情報取り扱いに関する連邦プライバシー法の枠組みを提供する。Desjardins の調査結果は、その法律の説明責任、保護、保持原則を漏洩に適用した。重要な実務的教訓は、プライバシー法とセキュリティエンジニアリングがライフサイクル管理の中で出会うことである。データがもはや必要ないのであれば、共有場所からコピー可能な状態であってはならない。マーケティングワークフローが集約分析を必要とする場合、ユースケースがそれを要求し、保護がリスクに一致しない限り、自動的に完全な ID 記録を受け取るべきではない。ユーザーフォルダが機密抽出物を保持している場合、そのフォルダは便利なキャッシュではなく、規制されたデータストアである。

データ最小化はコストモデルも変える。漏洩後、機関はクレジット監視、身元保護、コミュニケーション、法的手続き、外部監査、運用修復に支払う可能性がある。Desjardins の2019年第2四半期財務報告(https://www.desjardins.com/ressources/pdf/d50-rapport-trimestriel-mcd-2019-2-e.pdf?resver=1565631033000)は、プライバシー漏洩後の保護のための重要な費用と引当金を認識した。2019年年次報告(https://www.desjardins.com/ressources/pdf/d50-rapport-annuel-mcd-2019-t4-e.pdf?resVer=1583954841000)および関連財務諸表(https://www.desjardins.com/ressources/pdf/d50-etat-financier-mcd-2019-e.pdf?resVer=1583166109000)は、漏洩対応を重要な財務コストに関連付けた。これらのコストは、最小化が単なるコンプライアンスの好みではない理由を示している。過剰に保持されたデータは、管理が失敗すると資金提供された負債になる。

したがって、説明責任のある修復テストは、「機関は保持ポリシーを書いたか」ではなく、「機関は、古くて不要な機密情報がもはや一般従業員、共有フォルダ、ラップトップ、分析ワークフロー、リムーバブルメディアによって到達可能でないことを証明できるか」である。破棄証拠のないポリシーは約束である。監視のない削除手順は希望である。会員はデータ最小化が運用可能になったという証明を必要としていた。

業務の利便性が機密記録と出会う場所でアクセスガバナンスは失敗した

アクセスガバナンスはこのケースの核心である。多くの金融組織では、業務チームは製品管理、マーケティング、リスクモデリング、不正防止、運用、報告、サービス改善のために正当にデータを必要とする。これらのニーズは現実的であり得る。しかし、使用が正当であるからといって、すべての記録を広範な作業領域にコピーすべきではない。プライバシー調査結果は、機密情報がデータウェアハウスから共有ドライブやユーザーフォルダに移動し、悪意のある従業員が元の銀行ウェアハウスに通常アクセスできなかった場合でもコピーできたと説明している。これは古典的なアクセスガバナンスの逆転である。保護されたソースは、業務抽出後に保護が弱くなる可能性がある。

説明責任の問題は、マーケティング部門が会員データを決して使用すべきではないということではない。アクセスはすべての段階で必要性、目的、機微性、トレーサビリティに従うべきである。抽出がウェアハウスを離れる場合、管理を継承すべきである。ユーザーフォルダが機密データを受け取る場合、その権限は狭く、使用はログ記録され、保持は短く、エクスポートパスは管理されるべきである。共有ドライブが中間ワークスペースとして使用される場合、長命のシャドウデータウェアハウスになるべきではない。ID フィールドが必要ない場合、抽出が管理されたシステムを離れる前に削除またはトークン化されるべきである。

セキュリティ自動化は、手動ポリシーがすべてのコピーを監視できないため関連する。成熟した環境は、異常な転送、機密列の繰り返しエクスポート、共有ドライブからエンドポイントへのコピー、リムーバブルストレージの使用、役割や目的と一致しないアクセスパターンを探すべきである。また、ファイルを機微性で分類し、社会保険番号や取引履歴を含むスプレッドシートやデータ抽出が通常の業務コンテンツとは異なる方法で処理されるようにする。エンドポイント管理は、承認とログ記録なしに規制された金融 ID データを USB デバイスにコピーすることを困難にする。データ損失防止ツールは不完全であり得るが、そのような監視の欠如または弱さは、内部エクスポートから自分自身を保護できない会員への負担を変える。

OSFI のテクノロジーおよびサイバーリスク管理ガイダンス(https://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-management)は、Desjardins の2019年の管理に関する遡及的調査結果ではない。これは、テクノロジーとサイバーリスクが組織のリスクに比例してガバナンス、管理、監視、回復力を持たせるという現代の金融セクターの期待を表現しているため有用である。内部者のデータ移動はその枠組みに直接当てはまる。それはプライバシーイベントであるだけでなく、人、プロセス、テクノロジー、データガバナンスが交差する運用リスクイベントである。

アクセスガバナンスの失敗には制度的信頼の側面もあった。Desjardins は協同組合金融グループである。会員は遠いシステムの単なるリテール口座保有者ではなく、信頼、地域性、会員資格に依存する協同組合関係の一部である。したがって、信頼された従業員が関与する漏洩は、組織の社会的契約を打撃する。修復は「従業員はいなくなった」に還元することはできない。組織は、会員の信頼がもはや便利なアクセスを持つすべての従業員が永遠に正しく行動するという仮定に依存しないことを示さなければならない。

検出の遅延が説明責任の形を変えた

検出のタイミングは、ID データの害が静かに成長するため重要である。盗まれた支払いカードは交換できる。社会保険番号と生年月日は、将来の詐欺、なりすまし、ソーシャルエンジニアリングに有用であり続ける。プライバシー調査結果は、従業員関連の外部持ち出しが少なくとも26ヶ月にわたって発生したと述べている。この長い期間は説明責任の中心にある。なぜなら、管理システムがリスクが複合するのに十分な期間、機密情報の繰り返しコピーに気づかなかったか、阻止しなかったことを示唆しているからである。

公的記録は Desjardins が利用可能なすべての監視ログや内部アラートを公開しているわけではないので、この記事は詳細を捏造すべきではない。証拠はより狭い結論を支持する。最終的な検出と開示の記録は、既存の保護が集団規模の露出を防ぐのに十分でなかったことを示した。OPC のニュースリリース(https://www.priv.gc.ca/en/opc-news/news-and-announcements/2020/nr-c_201214/)は、管理的および技術的弱点の組み合わせを説明した。コミッショナーの声明(https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2020/s-d_20201214/)は、Desjardins が機密の個人情報を保護するために必要なレベルの注意を示さなかったと述べながら、組織が漏洩を知った後によく対応したとも述べている。

これらの2点は一緒に保たれるべきである。発見後の強力な対応は重要である。会員の被害を減らし、規制当局を支援し、是正に資金を提供し、管理を改善できる。しかし、外部発見後の強力な対応は、発見前の弱い検出体制を消し去るものではない。会員にとって、関連するリスクは Desjardins が警察の情報を受け取った後に行動したかどうかだけではなかった。Desjardins が外部シグナルを待たずに異常なコピーを検出できたかどうかであった。

検出は一つの管理ではない。アクセスレビュー、データ分類、共有フォルダスキャン、エンドポイントテレメトリ、リムーバブルメディア監視、特権ユーザー分析、役割ベースの例外、アラートルーティング、エスカレーションルールが含まれる。また、広範すぎるビジネスプロセスを停止する権限も含まれる。部門が機密データを共有ドライブに配置する反復抽出を構築している場合、検出はそのパターンが存在する理由、承認されているか、まだ必要か、機密フィールドを抑制できるかを問わなければならない。ガバナンスレビューなしに単にイベントをログ記録するだけの監視は弱い証拠である。

長い期間は会員通知も変える。データが何ヶ月も前に組織を離れた可能性がある場合、会員は正確な将来の詐欺リスクを知ることはできない。機関は不確実性を正直に伝えなければならない。関連する情報のクラス、影響を受ける可能性のある人、利用可能な保護サービス、進行中の法執行および規制当局のプロセス、後日個人情報盗難が現れた場合に機関が何をするかを特定すべきである。通知は法的ステップだけではない。それは漏洩を管理しなかった人々への実行可能な知識の移転である。

是正費用は ID リスクがインシデントを超えて生き残ることを示した

Desjardins の是正記録は、機関が ID リスクを長期的に扱ったことを示しているため、証拠ファイルの有用な部分である。Desjardins Identity Protection(https://www.desjardins.com/en/security/desjardins-identity-protection.html)は、詐欺防止、個人情報盗難サポート、身元回復費用の払い戻し、クレジット監視機能を説明している。Desjardins の財務報告は漏洩保護に関連する費用と引当金を認識し、2019年連合年次報告(https://www.desjardins.com/ressources/pdf/d50-rapport-annuel-fcdq-2019-t4-e.pdf?resVer=1583953623000)は、プライバシー漏洩後の Desjardins Identity Protection 導入費用について議論している。

この対応が重要なのは、ID データが耐久性があるためである。短期間のクレジット監視は役立つが、侵害された識別子は後で使用される可能性がある。会員は、特にデータが他のソースと組み合わされた場合、イベントから数年後に詐欺試行に直面する可能性がある。Desjardins のより広範な ID 保護と払い戻しの提供は、被害モデルがニュースサイクルを超えて続く可能性があることを認識していた。

集団訴訟和解記録は別の次元を追加する。Desjardins の2022年2月の和解発表(https://www.desjardins.com/en/news/desjardins-settlement-agreement.html)は、プライバシー漏洩に関連する集団訴訟の原告と和解契約が締結されたと述べた。2022年6月の発表(https://www.desjardins.com/en/news/privacy-breach-settlement-agreement.html)は、ケベック州高等裁判所が、請求を行った適格者への個別回復として最大2億852,500カナダドルを支払う和解を承認したと述べた。和解サイト(https://desjardinssettlement.com/)およびクラスカウンセル資料(https://www.siskinds.com/class-action/desjardins-privacy-breach/)は、公的修復マップの一部となった。

和解は技術的調査結果と同じではない。Desjardins は和解のためにすべての申し立てを認める必要はなかった。しかし、和解は、漏洩コストが管理の失敗から会員補償、請求管理、法的免除、機関費用にどのように移動したかを示しているため、説明責任の証拠である。また、漏洩後の金銭の限界も示している。補償を受け取る会員は、ID データを呼び戻せないという事実とともに生きなければならない。最も強力な修復は、露出後の払い戻しだけでなく、予防と検証可能な管理改善である。

したがって、是正ファイルは、金銭とサービスが管理証拠と一致したかどうかを問うべきである。アクセス権は狭められたか?共有ドライブワークフローは再設計されたか?機密抽出物は分類され、時間制限されたか?USB 管理は強化されたか?監視アラートは改善されたか?保持および破棄手順は実装されたか?外部監査人に適切な事項の証明を依頼したか?規制当局の進捗報告は変化を証明するのに十分意味があったか?公的プライバシー記録は、Desjardins が推奨事項と外部監査報告に同意したと述べている。会員は依然として古い経路が閉じられたという実際的な保証を必要としていた。

規制当局の推奨事項がこの事例を証拠テストに変えた

カナダのプライバシー調査結果は、漏洩を謎として枠組みしなかったため価値がある。弱点を特定し、推奨事項を作成した。OPC は、Desjardins が個人情報保護および情報セキュリティプログラムの改善に同意し、6ヶ月ごとに進捗報告を提供し、外部監査人を雇い、評価報告書を提出すると述べた。OPC ニュースリリースはまた、Desjardins がデータ破棄慣行とプログラム改善に関連する推奨事項に同意したと述べている。

それが説明責任の転換点である。規制当局の推奨事項は単なる非難ではない。それは証拠基準を生み出す。Desjardins は管理が実装され、外部監査人が関連プログラムを検討し、残存リスクが特定されたことを実証しなければならなかった。OPC の調査結果は、ガバナンス、リソース、個人情報を保存するために使用されるプラットフォーム、各場所に保存された情報の機微性、保護、保持、破棄、非識別化、残存リスクなどの評価トピックをリストした。漏洩がデータストレージ、アクセス、エンドポイント、保持、ガバナンスの境界を横断したため、これらは正しいカテゴリである。

カナダプライバシーコミッショナー事務局の企業向け漏洩ガイダンス(https://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/gd_pb_201810/)は、対応と記録保持のための有用な管理語彙である。組織が重大な害の実際のリスクを評価し、特定の漏洩を報告し、影響を受ける個人に通知し、記録を保持し、害を軽減するための措置を講じることを強化する。Desjardins のケースでは、課題は通知の仕組みを満たすことだけでなく、保護がデータの機微性と規模に適切になったことを証明することであった。

NIST のサイバーセキュリティフレームワーク(https://www.nist.gov/cyberframework)および CISA の安全な設計資料(https://www.cisa.gov/resources-tools/resources/secure-by-design)は、より広範な参考資料であり、Desjardins 固有の調査結果ではない。それでも、このインシデントが露呈した管理ループを表現しているため関連する。機密データとビジネスプロセスを特定する。アクセスを保護し、移動を制限する。異常なコピーを検出する。明確な通知と是正で対応する。テストされた修復を通じて信頼を回復する。名前付き責任と証拠を通じてシステム全体をガバナンスする。Desjardins のケースはそのループのすべての部分に触れた。

公共セクターの継続性要素がここに現れる。プライバシー規制当局、警察、裁判所、金融監督当局、信用調査機関、個人情報盗難対応者、集団訴訟管理者はすべて対応エコシステムの一部となった。大規模な金融 ID 漏洩は企業境界内に留まらない。公的機関は、苦情、調査、詐欺報告、法的手続き、国民の信頼の仕事を吸収しなければならない。データを収集した機関が第一義的な保護を管理する。公共セクターは二次的な結果を運ぶのを助ける。

証拠の境界は可視化されたままにすべき

公的記録は強力な調査結果を支持するが、限界がある。Desjardins が従業員に関連した会員情報の組織外共有を開示したこと、連邦プライバシー調査結果によると漏洩が最終的に約970万人の個人に影響を及ぼしたこと、機密データクラスに氏名、生年月日、社会保険番号、住所、連絡先情報、取引履歴が含まれていたこと、OPC が説明責任、保持、保護に関する失敗を認定したことを支持する。Desjardins が身元保護措置に資金を提供し、後に裁判所承認の和解プロセスに入ったことを支持する。

公的記録は、影響を受けたすべての個人が個人情報盗難に遭ったと主張することを支持しない。すべての記録の正確な下流使用を証明しない。すべての警察証拠、すべての従業員ワークステーションログ、すべての USB イベント、すべての内部アクセスレビュー、すべての規制当局提出物、またはすべての外部監査成果物を公開しない。すべての Desjardins 従業員または部門についての推測を支持しない。真剣な説明責任ファイルは、過剰主張が分析を弱めるため、これらの境界を可視化しなければならない。

正しい結論はより狭く、より強力である。耐久性のある ID データを保持する金融機関は、通常の業務経路が一括エクスポート経路にならないようにしなければならない。内部関係者の不正使用は予見可能である。共有ドライブは予見可能である。リムーバブルメディアは予見可能である。マーケティングや分析のためのデータ抽出は予見可能である。保持のずれは予見可能である。説明責任の基準は、将来のすべての従業員を完全に知ることではない。それは、システムが一つの役割がコピーできるものを制限し、異常な動きを検出し、必要なものだけを保持し、管理が失敗したときに関係者に意味のある保護を与える証拠である。

このケースは、金融機関がすべての内部者リスクを排除できると主張するために使用されるべきではない。銀行、信用組合、保険会社、決済会社は、正当な理由で機密情報を扱う従業員や請負業者を必要とする。現実的な基準は比例的な管理である。高度に機微なデータは、より強力な権限、より狭いフィールド、目的の拘束、監査証跡、セグメンテーション、エンドポイント保護、保持規律を必要とする。識別子が耐久性があるほど、カジュアルなコピーに対する許容度は低くなるべきである。

この区別は公平性のために重要である。Desjardins の公開対応には会員保護と規制当局との協力が含まれていた。その対応は記録に属する。それは管理の失敗を否定するものではない。説明責任ファイルは両方を評価すべきである。発見後の機関の修復と、漏洩を拡大させた発見前の条件である。

検証可能な修復には何が必要か

Desjardins の耐久性のある修復テストはアクセス権から始まる。管理されたウェアハウスからユーザーフォルダ、共有ドライブ、分析ワークスペース、エンドポイントへの機密個人情報の繰り返し転送には、すべて名前付きのビジネス目的、データ所有者の承認、フィールド最小化、保持制限、ログ記録、レビュー日が必要である。目的を集約またはトークン化されたデータで達成できる場合、ID フィールドは移動すべきではない。ID フィールドを移動する必要がある場合、受け取り場所は通常の部門フォルダではなく、高リスクデータストアとして扱われるべきである。

2番目のテストはライフサイクル管理である。Desjardins は、どの個人情報を保持しているか、なぜ保持しているか、どこに保存されているか、どのくらいの期間留まるべきか、不要になったときにどのように破棄または非識別化されるかを知る必要があった。これは、レガシーシステム、データウェアハウス、会員製品、保険活動、カード、ビジネスクライアント、分析機能を備えた大規模な協同組合金融グループでは容易ではない。困難こそが、管理がガバナンスされなければならない理由である。実際のリポジトリにマッピングできない保持スケジュールは十分ではない。

3番目のテストはデータ移動の検出である。現代の金融機関は、機密データが大量にコピーされたり、共有フォルダに移動されたり、ワークステーションにダウンロードされたり、リムーバブルメディアに書き込まれたり、圧縮されたり、外部に電子メール送信されたり、通常の役割パターン外でアクセスされたりした場合に証拠を生成する必要がある。アラートは調査権限のある人にルーティングされるべきである。例外は期限切れになるべきである。大量の機密抽出物を作成する反復ビジネスプロセスは、プライバシー、セキュリティ、データ所有者によってレビューされるべきであり、常に存在していたからといって正常化されるべきではない。

4番目のテストはエンドポイントとリムーバブルメディアの管理である。公的調査結果は、共有ドライブから作業用コンピューター、そして USB キーへのコピーを説明した。説明責任のある対応は、高リスクの個人情報がリムーバブルメディアにカジュアルにエクスポートできないこと、または承認されたエクスポートが強力に管理、ログ記録、暗号化、時間制限され、正当な作業チケットに結び付けられていることを証明すべきである。管理は印刷、電子メール転送、クラウド同期、個人デバイス、その他の実用的な外部持ち出し経路もカバーすべきである。

5番目のテストは会員向けの緩和である。身元保護サービス、払い戻し、詐欺サポート、クレジット監視、補償は被害を減らすことができるが、データクラスと将来のリスクの明確な説明に結び付けられるべきである。会員は、何が起こったか、何に注意すべきか、後日個人情報盗難が現れた場合にどのような支援が引き続き利用可能かを知るために法的文書を解析する必要があってはならない。

6番目のテストは外部証拠である。規制当局が進捗報告と外部監査を要求する場合、証拠はアクセスガバナンスが変わったことを示すのに十分具体的であるべきである。ポリシーが改善されたという一般的な声明は漏洩に答えない。証拠は、データインベントリの進捗、アクセスロールのクリーンアップ、共有ドライブの削減、保持の実装、監視メトリクス、インシデント対応の改善、未解決の残存リスクを示すべきである。規制当局はすべての詳細を公開しないかもしれないが、機関は実質を実証できるべきである。

他の金融機関が学ぶべきこと

Desjardins のケースは、金融機関、信用組合、保険会社、フィンテック、データ処理業者に対する一般的な教訓がある。内部者によるデータ露出は、通常のガバナンス外の珍しいカテゴリではない。それは、広範なアクセス、管理されていない抽出、長期保持、弱いエンドポイント管理、限られた監視の自然な故障モードである。悪意のある従業員は、環境がその従業員に集団規模のデータへの経路を与えた場合にのみ、集団規模の身元リスクを生み出すことができる。

取締役会は、安心ではなく証拠を求めるべきである。何人の従業員が生の ID フィールドにアクセスできるか?いくつの反復抽出に社会保険番号、生年月日、住所、取引履歴が含まれているか?それらの抽出はどこに着地するか?どのくらいの期間残るか?ラップトップやリムーバブルメディアにコピーできるか?ユーザーが数十万件のレコードをコピーした場合、どのアラートが作動するか?マーケティング、分析、製品、不正、サポート、運用の役割のアクセス権は誰がレビューするか?例外はどのくらい早く削除されるか?古い会員データはどのように破棄されるか?独立したテストが答えを証明するか?

セキュリティチームは、「内部者脅威」という狭いフレームが設計問題を個人化する方法になる場合、それに抵抗すべきである。内部者リスク管理は、アクセスガバナンス、データ分類、保持管理、監視、エンドポイント設計、トレーニング、調査ワークフロー、ビジネスプロセスの再設計である。それは従業員に信頼できるよう求めるポスターキャンペーンではない。従業員はトレーニングを受けるべきだが、トレーニングは一人がコピーできる機密データの量を制限することに代わることはできない。

プライバシーチームはデータ最小化をセキュリティアーキテクチャとして扱うべきである。プライバシー記録が長く保持されすぎたり、広くコピーされたりすると、セキュリティチームはより大きな爆発半径を継承する。セキュリティ監視が形式的に承認されているためにビジネス抽出を無視する場合、プライバシーチームは管理されていないライフサイクルを継承する。2つの分野は、機密データが本来あるべき場所に、本来あるべき期間、将来の害に一致する管理の下で存在するかどうかの問題で出会う。

会員と顧客は、ID データが元のアプリケーションを離れた後にどのように保護されるかを機関に尋ねるべきである。多くの組織は、ソースでは強力なデータベースアクセス管理を持っているが、抽出、レポート、共有ドライブ、スプレッドシート、分析サンドボックスではより弱い管理を持っている。危険なコピーは、コアシステムのレコードではないかもしれない。利便性のために作成され、忘れられたエクスポートであるかもしれない。

最終的な説明責任の教訓は実用的である。Desjardins は、従業員が悪い行動をしたために内部者アクセスをガバナンステストにしたのではない。公的記録が、金融 ID データが通常の業務システムを通過して集団リスクを生み出す方法で移動できることを示したため、内部者アクセスをガバナンステストにした。金融機関では、会員の身元はインフラである。それは、ID データが機関を離れると、会員が何年もリスクを負うため、資金移動と同じ真剣さでガバナンスされなければならない。

協同組合の信頼が証明負担をより高くした

Desjardins の協同組合構造は、証明負担をより低くではなく、より高くする。協同組合金融グループは、会員資格、地域サービス、共同所有、コミュニティへのコミットメントの言葉を話すことができる。これらの価値は、会員データが機関内で保護されているという証拠と一致する場合にのみ意味がある。会員は、関連する管理がウェアハウス、共有ドライブ、エンドポイントツール、保持システムに隠されている場合、データガバナンスに意味のある形で参加できない。したがって、協同組合関係は、会員の仮定ではなく、制度的証明に依存する。

その証明はいくつかのレベルで読み取り可能であるべきである。取締役会は管理証拠(データインベントリ、アクセスレビュー、監視メトリクス、破棄の進捗、監査結果、残存リスク)を必要とする。規制当局は、推奨事項が一般的なポリシー言語に吸収されるのではなく実装されたかどうかをテストするのに十分な詳細を必要とする。会員は、どのデータが関与したか、どのような保護が継続するか、支援を得る方法についての平易な通知を必要とする。従業員は、承認された経路を安全でない経路より簡単にする実用的なガードレールを必要とする。各オーディエンスは異なる表面を必要とするが、すべてが同じ根本的な事実を必要とする。機密の ID データは、もはや弱くガバナンスされた作業経路を大規模に移動できない。

ここで公的信頼が継続性の問題になる。金融機関は日常生活の一部である。給与、ローン、カード、税務記録、退職貯蓄、中小企業金融、保険、政府とのやり取りはすべて、安定した身元と信頼された記録に依存する。漏洩に社会保険番号と連絡先情報が含まれる場合、修復負担は一つの機関の貸借対照表を超えて拡大する。銀行、信用調査機関、警察サービス、税務当局、雇用主、消費者ヘルプデスクはすべて、被害管理環境の一部になる。そのため、この記事は Desjardins が政府機関ではないにもかかわらず、公共セクターの継続性を管理されたトピックとして扱っている。漏洩は、公的および私的アクターの両方が依存する身元インフラに触れた。

したがって、最も有用な説明責任の結論は、罰則的なレトリックではない。それは証拠ルールである。機関が耐久性のある ID 情報を収集する場合、その情報がどこにあるか、誰が使用できるか、なぜ使用できるか、そこにどのくらい留まるか、移動するときに何が起こるか、異常に移動するときにどのようなシグナルが現れるかを証明できなければならない。機関がインシデント前にこれらの質問に答えられない場合、インシデント後に通知、引当金、集団訴訟、規制当局の調査結果、会員の不安を通じて答えることになる。Desjardins はそのタイミングを可視化した。