DOEh：カナダが実際に施行できない新しいプライバシー法

カナダ政府は今週、厳格な新しいプライバシー法を施行する予定だが、規制当局は施行できないと述べているため、「施行」​​という言葉は解釈に委ねられている。

アメリカの情報によると、11月1日、北米で事業を展開するすべての企業を対象に、個人情報保護および電子文書法と新しいデータ侵害報告規則が施行されるという。

つまり、この規則は、企業が顧客情報の潜在的な損失に対して責任を負うことになると定めています。データ損失を発見し報告する責任は企業に課され、インシデント報告を放置する企業には罰金や刑事告発の脅威が迫ります。

この法律が施行されると、あらゆる規模の企業は、顧客情報の漏洩や紛失によって誰かが被害を受ける可能性があると信じる理由がある場合、顧客と政府の両方に報告することが義務付けられる。

カナダのプライバシー保護委員会事務局は、この規則について「セキュリティ保護の侵害が1人に影響を与えるか1000人に影響を与えるかにかかわらず、侵害によって重大な損害が発生する現実的なリスクがあると評価により示された場合は、報告する必要がある」と述べた。

どのくらい被害を受けましたか?

「重大な損害の実際のリスク」の部分は、法律の解釈が分かれる部分だが、ガイドラインとして、コミッショナー事務局は、一般的に企業はデータの機密性とそれが悪用される可能性の両方を考慮すべきだと述べている。

この規制は大きなことを言っているが、実際に施行するのは困難だろう。

カナダのダニエル・テリエンプライバシー大臣は、新規則を説明する際も、リソース不足のため、法律の施行に関しては自分のオフィスには、チップゲームのLNAHラインズマン程度の権限しかないだろうと述べた。

「[テリエン氏は]報告要件が不十分であると懸念を表明している。例えば、彼の事務所への違反報告が、組織の安全対策の質を評価するために必要な情報を提供することを保証していない」とコミッショナーの事務所は述べた。

「さらに、政府はプライバシーコミッショナー事務局に対し、違反報告の分析、助言の提供、遵守状況の検証を行うためのリソースを提供していない。その結果、事務局の業務はやや表面的なものとなり、プライバシー保護における制度の効果は低下するだろう。」

法律の執行を担う機関が、現場での施行に困難をきたすことを認めるのは、決して良いことではありません。カナダがこの問題を解決する方法を見つけ出すまで、企業は新しいデータ侵害法の非効率性、苛立ち、そして執行における一貫性の欠如に直面することになるでしょう。®